Il worm che minaccia di sequestrare l'hard disk

Prevx ha scoperto un worm che, distribuendo un .exe, tenta di mettere sotto sequestro i dati contenuti nell'hard disk richiedendone poi un riscatto sotto forma di software a pagamento per la decrittazione. A rischio anche la privacy degli utenti
Prevx ha scoperto un worm che, distribuendo un .exe, tenta di mettere sotto sequestro i dati contenuti nell'hard disk richiedendone poi un riscatto sotto forma di software a pagamento per la decrittazione. A rischio anche la privacy degli utenti
Il worm che minaccia di sequestrare l'hard disk

«Lo scorso week-end abbiamo isolato un nuovo ransomware che cripta i files nell’hard disk e chiede il pagamento di una determinata cifra come riscatto per riavere i documenti. Il trojan non è proprio una novità, ma si tratta di una nuova variante di un vecchio password stealer che avevamo già individuato nei mesi scorsi. Quest’ultima variante ha inoltre funzioni di ransomware»: così Marco Giuliani segnala quanto scoperto nel weekend relativamente ad un nuovo malware che tenta di ‘sequestrare’ i dati dell’utente chiedendo un riscatto per la loro ‘liberazione’.

Spiega Pc al Sicuro: «se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi […] Questo permette al malware di partire in posizione privilegiata all’avvio del sistema, prima rispetto a molti altri processi. Crea inoltre una directory nascosta sotto system32, chiamata wsnpoem che contiene video.dll e audio.dll». Il malware scansiona l’hard disk per cercare file di varia estensione (comprese tutte le più note) e provvede a criptarli. A questo punto un messaggio viene immesso in ogni singola directory modificata: «ciao, i tuoi file sono stati crittografati con algoritmo RSA-4096. Avrai bisogno di anni per decrittare i file senza il nostro software. Tutte le tue informazioni private per i prossimi 3 mesi saranno raccolte ed inviate a noi. Per decrittare i tuoi file devi comprare il nostro software. Il prezzo è di 300 dollari».

Fortunatamente l’algoritmo usato non è in realtà così sofisticato: secondo Prevx «i file non sono così ben criptati e possono essere decodificati. Non è necessario pagare 300 dollari per decodificare i file, semplicemente scaricate il nostro tool».

Il sito ufficiale Prevx segnala peraltro la presenza di un file di log con nomi di importanti gruppi quali HP o U.S. Dept. of Transportation che potrebbero potenzialmente essere caduti vittima dell’infezione.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

Link copiato negli appunti