VIRUS: aggressioni da ransomware

Fonte CERT Nazionale Italia, Ministero dello Sviluppo Economico, 30 maggio 2016

In questo articolo vengono riassunte brevemente le notizie di maggior rilievo riguardanti i malware appartenenti alla categoria del ransomware pubblicate nella quarta settimana di maggio del 2016 da siti specializzati in sicurezza informatica e altre fonti attendibili selezionate.

Il filmato, minaccioso e inquietante quanto basta, speriamo possa sensibilizzare tutte quelle persone – responsabili aziendali o titolari, liberi professionisti, artigiani e commercianti, ecc. –  che sottovalutano il problema. Perdere la documentazione digitale (fatture progetti, ecc.) per una attività produttiva costituisce un danno economico non trascurabile. Oggi le battaglie sul piano economico si combattono sul terreno digitale e questi fenomeni saranno sempre più aggressivi col preciso intento di creare un danno al tessuto produttivo. Non sarà il caso di adottare adeguate contromisure? Pochi Euro all’anno sono sufficienti per attivare sistemi di posta affidabili, ma devono essere investiti (N.d.R.).

Il video mostra di un ransomware durante l’azione di criptazione dei file. Puoi vedere l’intero video cliccando QUI – (N.d.R.)

Indice delle notizie

DMA Locker 4.0 distribuito tramite Neutrino EK

Gli esperti di sicurezza di Malwarebytes mettono in guardia da una potenziale nuova ondata di infezioni del ransomware DMA Locker.

Da quando è stato individuato all’inizio del 2016, questo ransomware si è andato rapidamente evolvendo. Nelle sue prime incarnazioni, DMA Locker si installava su Desktop remoti compromessi ed era noto per essere piuttosto instabile, oltre che facilmente contrastabile. La versione più recente, la 4.0, scoperta il 19 maggio, viene distribuita tramite l’exploit kit Neutrino. Questo cambiamento è un chiaro indicatore della maturità di questo malware, e dimostra che questa minaccia è pronta per una diffusione su più vasta scala.

DMA Locker si presenta con l’estensione “.exe” e con l’icona di un documento PDF. Una volta eseguito sulla macchina della vittima, copia se stesso nella directory “C:\ProgramData” con il nome “svchosd.exe”. Oltre all’eseguibile principale, DMA Locker installa altri due file. Il primo, “cryptinfo.txt”, contiene la nota di riscatto. Il secondo, “select.bat”, è uno script che mostra la suddetta nota anche nel caso in cui il malware sia stato rimosso dal computer. Questo malware crea anche alcune chiavi di registro allo scopo di divenire persistente.

Una volta cifrati i file dell’utente, DMA Locker mostra la seguente finestra, da cui si evince che la cifra richiesta per il riscatto ammonta a 1 bitcoin (circa 480€):

dma-locker

Le chiavi di cifratura vengono generate e scaricate direttamente dal server C&C. Nel caso di DMA Locker 4.0 il sito Web dove l’utente può acquistare la chiave per decifrare i sui dati non è posizionato nella rete anonimizzata TOR, ma utilizza un normale hosting il cui indirizzo IP viene utilizzato anche come server C&C.

Nuova ondata di malware colpisce l’Europa: grande prevalenza del ransomware Locky

Gli analisti di ESET hanno registrato di recente un picco nelle rilevazioni del malware JS/Danger.ScriptAttachment in diversi paesi europei. I tassi di infezione più elevati riguardano il Lussemburgo (67%), la Repubblica Ceca (60%), l’Austria (57%), i Paesi Bassi (54%) e il Regno Unito (51%).

Questa minaccia arriva sulle macchine delle vittime in forma di allegato a messaggi di Email ed è progettata per scaricare e installare diverse varianti di malware, la maggioranza dei quali è costituita da varie famiglie di ransomware, come Locky.