Categorie: Sicurezza Informatica
In questo articolo vengono riassunte brevemente le notizie di maggior rilievo riguardanti i malware appartenenti alla categoria del ransomware pubblicate nella seconda settimana di giugno del 2016 da siti specializzati in sicurezza informatica e altre fonti attendibili selezionate.
Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.
Gli esperti di sicurezza di Trend Micro hanno scoperto una variante del ransomware per Android FLocker in grado di infettare e bloccare anche le Smart TV.
Da quando è stato identificato nel maggio del 2015, FLocker (abbreviazione di “Frantic Locker”) ha subito innumerevoli sviluppi e variazioni con lo scopo di rendere questo malware più efficace e più difficile da individuare ed analizzare. L’ultima variante di FLocker è un trojan simile ad altri di questo tipo, comeCyber.Police, che si spacciano per fantomatiche agenzie di law enforcement statunitensi. Il malware mostra alle potenziali vittime un messaggio in cui le si accusa di crimini che non hanno commesso e richiede per sbloccare il dispositivo un riscatto di 200$ sotto forma di codici di carte regalo di Apple iTunes.
Anche se al momento non è del tutto chiaro il meccanismo con cui questo malware può infettare dispositivi diversi da smartphone e tablet, stando a quanto riportato da Trend Micro non vi sono grandi differenze dal punto di vista tecnico tra una variante di FLocker per dispositivi mobili e una in grado di colpire le Smart TV.
Fonte: Trend Micro
È stata individuata una variante del crypto-ransomware JIGSAW che, invece di indirizzare le sue vittime su un sito nel Dark Web, preferisce comunicare con loro attraverso una vera e propria chat (vedi Figura 2), nell’evidente tentativo di rendere più agevole il processo di pagamento del riscatto e, allo stesso tempo, più proficuo il modello di business di questo tipo di estorsioni informatiche.
Per implementare il servizio di chat i creatori di questa variante di JIGSAW hanno utilizzato onWebChat, una piattaforma Web pubblicamente disponibile. Apparentemente, i cyber criminali impiegano del personale che risponde in tempo reale alle domande degli “utenti”, dando loro tutte le istruzioni necessarie per pagare la somma richiesta (minimo 150$ in bitcoin) ed ottenere la chiave per decifrare i file presi in ostaggio dal ransomware.
Fonte: Trend Micro
Ricercatori di sicurezza indipendenti hanno scoperto un nuovo ransomware, battezzato RAA, che è composto al 100% da codice JavaScript.
Per impostazione predefinita, l’implementazione standard di JavaScript non include alcuna funzione di crittografia avanzata. Per aggirare il problema e poter cifrare i file dell’utente utilizzando l’algoritmo AES, gli sviluppatori di RAA hanno utilizzato la libreria pubblica CryptoJS del Google Code Project.
RAA viene distribuito in forma di allegati ad Email malevole. Si tratta di file JavaScript mascherati da documenti Word, con nomi come “mgJaXnwanxlS_doc_.js”. Se viene lanciato, il malware cifra i file sul computer e richiede un riscatto di 0,39 bitcoin (circa 255€) per poterli recuperare. Inoltre, a rendere le cose peggiori, RAA installa sul computer della vittima anche il malware per il furto di password Pony estraendolo dal proprio codice.
Quando la vittima fa doppio clic sul file JS, RAA genera un falso documento di Microsoft Word nella cartella dei Documenti con un nome del tipo “doc_attached_[caratteri casuali]”. Questo documento viene automaticamente aperto per far credere alla vittima che l’allegato sia in qualche modo danneggiato. A questo punto il malware effettua una scansione in background per rilevare tutti i dischi connessi alla macchina sui quali l’utente corrente ha accesso in scrittura e avvia la propria funzione di cifratura.
Questo ransomware cifra i file con le seguenti estensioni, aggiungendovi l’estensione “.locked”:
.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv
Durante la scansione del sistema, RAA esclude i file che contengono nel nome le stringhe “.locked”, “~” e “$” o sono memorizzati nelle seguenti cartelle:
Programmi
Programmi (x86)
Windows
Recycle.Bin
Recycler
AppData
Temp
ProgramData
Microsoft
Infine, il ransomware crea sul desktop il file “!!!README!!![id].rtf” contenente la richiesta di riscatto ([id] è un identificativo univoco assegnato alla vittima). Il testo della nota è in Russo (vedi Figura 3).
Il file JS viene quindi impostato per l’avvio automatico, in modo che venga eseguito ogni volta che la vittima effettua il login in Windows. Questo meccanismo consente al malware di cifrare anche i nuovi documenti che sono stati creati dopo l’ultimo accesso.
Al momento non vi è alcun modo per decifrare gratuitamente i file presi in ostaggio da questo ransomware. RAA cancella anche le copie shadow di Windows per impedire il recupero dei file.
Fonte: Bleeping Computer
(Fonte: http://www.certnazionale.it )