Nuovo ransomware PiLocky diffuso tramite campagne email malevole

Nuovo ransomware PiLocky diffuso tramite campagne email malevole

I laboratori Trend-Micro hanno individuato un nuovo tipo di ransomware denominato PiLocky che sta colpendo diversi paesi europei. Vediamo come agisce e che contromisure adottare contro questo ransom.

Diffuso tramite allegato email zippato

La diffusione, come anticipato, avviene attraverso campagne email malevole le quali contengono un file compresso in formato ZIP il quale, dopo esser stato eseguito, scarica ulteriori componenti del malware sul sistema tra cui il componente principale chiamato “lockyfud.exe”. 

Meno di 4 gb di memoria? No grazie, non cripto

Può sembrare strano, ma il ransom esegue la verifica delle caratteristiche hardware del sistema tramite gli strumenti WMI (Windows Management Instrumentation) e se il sistema ha meno di 4GB di memoria RAM la cifratura dei file NON avviene. 

I tipi di file cifrati dal ransom sono i seguenti:
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

La schermata di “riscatto” visualizzata è la seguente, molto simile per altro al ransomware Locky:

Per fortuna sembra che questo ransomware venga individuato senza troppi problemi dagli antivirus come evidenziato da Virustotal

Leggi  Codici sorgenti di Microsoft e altre aziende sono online

Vogliamo inoltre rammentare alcune risorse utili all’argomento:

Fonte ad approfondimento: A Closer Look at the Locky Poser, PyLocky Ransomware

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *