Il ricercatore della Emsisoft xXToffeeXx ha scoperto un nuovo ransomware che usa un metodo innovativo per infettare i sistemi, rendendosi all’inizio non rilevabile da quasi tutti gli antivirus. Il CertNazionale ha pubblicato un articolo inerente la scoperta.
Il metodo di diffusione usa, come di consueto, campagne SPAM tramite un allegato contenenti in apparenza ordinanze del tribunale o simili e viene veicolato tramite un file WSF il quale scarica tre immagini JPEG da tre diverse sorgenti nelle quali c’è a sua volta un file zip che alla decompressione installa tutti i file malevoli per attaccare il sistema ospite.
Il file JPEG, se aperto, mostra la seguente schermata:
Il file compresso contiene tre file, il principale veicolo d’infezione è il file sync.exe il quale cifra i dati dell’utente con algoritmo AES, la chiave di cifratura viene a sua volta con una chiave pubblica RSA-4096 contenuta nel codice del malware e salvata nella directory ReadmeKey.
Il riscatto richiesto equivale a 0.1001270 BTC che sono circa € 350. Attualmente il file immagine viene rilevato da 18 antivirus su 58 come malevolo, la stessa cosa vale per il file principale sync.exe
Per ora non ci sono strumenti per il ripristino dei file criptati, quindi rimane importante la prevenzione, riportiamo alcuni articoli utili all’argomento:
- Come combattere i ransomware
- Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Cryptolockers (Aggiornato al 17 Maggio 2017)
Via: BleepingComputer.com