Nuovo ransomware PiLocky diffuso tramite campagne email malevole

I laboratori Trend-Micro hanno individuato un nuovo tipo di ransomware denominato PiLocky che sta colpendo diversi paesi europei. Vediamo come agisce e che contromisure adottare contro questo ransom.

Diffuso tramite allegato email zippato

La diffusione, come anticipato, avviene attraverso campagne email malevole le quali contengono un file compresso in formato ZIP il quale, dopo esser stato eseguito, scarica ulteriori componenti del malware sul sistema tra cui il componente principale chiamato “lockyfud.exe”. 

Meno di 4 gb di memoria? No grazie, non cripto

Può sembrare strano, ma il ransom esegue la verifica delle caratteristiche hardware del sistema tramite gli strumenti WMI (Windows Management Instrumentation) e se il sistema ha meno di 4GB di memoria RAM la cifratura dei file NON avviene. 

I tipi di file cifrati dal ransom sono i seguenti:
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

La schermata di “riscatto” visualizzata è la seguente, molto simile per altro al ransomware Locky:

Per fortuna sembra che questo ransomware venga individuato senza troppi problemi dagli antivirus come evidenziato da Virustotal

Vogliamo inoltre rammentare alcune risorse utili all’argomento:

Fonte ad approfondimento: A Closer Look at the Locky Poser, PyLocky Ransomware

Articoli Correlati

Come avviare una distro live di KUbuntu per salvare i propri dati

Gli antivirus migliori del 2024

Come rimuovere Google Drive dall’Accesso Rapido