I laboratori Trend-Micro hanno individuato un nuovo tipo di ransomware denominato PiLocky che sta colpendo diversi paesi europei. Vediamo come agisce e che contromisure adottare contro questo ransom.
Diffuso tramite allegato email zippato
La diffusione, come anticipato, avviene attraverso campagne email malevole le quali contengono un file compresso in formato ZIP il quale, dopo esser stato eseguito, scarica ulteriori componenti del malware sul sistema tra cui il componente principale chiamato “lockyfud.exe”.
Meno di 4 gb di memoria? No grazie, non cripto
Può sembrare strano, ma il ransom esegue la verifica delle caratteristiche hardware del sistema tramite gli strumenti WMI (Windows Management Instrumentation) e se il sistema ha meno di 4GB di memoria RAM la cifratura dei file NON avviene.
I tipi di file cifrati dal ransom sono i seguenti:
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent
La schermata di “riscatto” visualizzata è la seguente, molto simile per altro al ransomware Locky:
Per fortuna sembra che questo ransomware venga individuato senza troppi problemi dagli antivirus come evidenziato da Virustotal.
Vogliamo inoltre rammentare alcune risorse utili all’argomento:
Fonte ad approfondimento: A Closer Look at the Locky Poser, PyLocky Ransomware
