Il 27% di tutto il malware della storia dell’informatica è comparso nel 2015
30 Gennaio 2016
Le previsioni IT di Interoute per il 2016
30 Gennaio 2016

15/01/16 – E’ stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che si distingue dagli altri perché finge di essere

il file necessario a eseguire il browser Chrome di Google. Win32/Filecoder.NFR funziona come un ‘ransomware as a Service’ (RaaS) collegato a un server nascosto nella rete TOR (acronimo di The Onion Router, necessario per navigare nel Deep Web). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo. I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.

Secondo i dati di Live Grid®, l’esclusiva tecnologia Cloud di ESET che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.

Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema. Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.

Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.Un altro dettaglio degno di nota che differenzia Filecoder.NFR da altre minacce simili è la sua grande dimensione, circa 45 MB, a dispetto delle dimensioni usualmente piccole dei ransomware. Questo probabilmente poiché Filecoder.NFR cerca di ingannare l’utente fingendo le stesse dimensioni del file originale.
Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l’uso di altri Trojan-Downloader o di backdoor.

I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato. Quest’ultima viene crittografata usando l’algoritmo RSA e viene ottenuta una chiave pubblica dal server C2 durante la prima comunicazione.

Link: http://www.eset.it

Comments are closed.

Italiano
Impostazioni della Privacy
Nome Abilitato
Cookie Tecnici
Per utilizzare questo sito web usiamo i seguenti cookies tecnici necessari: wordpress_test_cookie, wordpress_logged_in_, wordpress_sec.
Cookies
Utilizziamo i cookie per offrirti un'esperienza migliore sul sito web.
Privacy Policy
Verifica se hai accettato la nostra privacy policy.
Termini e Condizioni
Controlla se hai accettato i nostri Termini e Condizioni.

Durante la navigazione potranno essere installati sul tuo dispositivo cookie tecnici, analitici e, previo tuo consenso, cookie di profilazione della Notelseti Srls e di terze parti al fine di proporti pubblicità in linea con i tuoi interessi.