Il mondo dopo TeslaCrypt: in arrivo la famiglia di ransomware Crysis

Sono trascorse due settimane da quando ESET ha scoperto che il ransomware TeslaCrypt ha terminato le sue attività e ha creato il TeslaCrypt decryptor che permette alle vittime di questo ransomware di poter recuperare i propri file.
del 29/06/16 -

Sono trascorse due settimane da quando ESET ha scoperto che il ransomware TeslaCrypt ha terminato le sue attività e ha creato il TeslaCrypt decryptor che permette alle vittime di questo ransomware di poter recuperare i propri file. Da allora, oltre 32000 utenti in tutto il mondo hanno sfruttato questa opportunità e hanno scaricato lo strumento.
Pur se il TeslaCrypt ha abbandonato il campo, le famiglie di malware creati a scopo di estorsione non hanno perso la loro appetibilità per i criminali informatici. Grazie alle incessanti ondate di JS/TrojanDownloader.Nemucod e JS/Danger.ScriptAttachment che tentano di scaricare diverse varianti di Locky, sembrerebbe che questo ransomware si stia seriamente candidando a rivendicare lo scettro del TeslaCrypt.Ma secondo le statistiche di ESET LiveGrid®, che ne mostrano un elevato livello di prevalenza, c'è un altro concorrente, il cosiddetto Win32/Filecoder.Crysis.
Le analisi di ESET mostrano che questo pericoloso ransomware è in grado di codificare i file sui dischi fissi, su quelli rimovibili e su quelli di rete, utilizzando un algoritmo crittografico molto complesso e uno schema che rende molto difficile ripristinare i file in tempi ragionevoli.
I ricercatori di ESET hanno notato diversi approcci utilizzati da questo malware per diffondersi: nella maggior parte dei casi i file del ransomware Crysis vengono distribuiti come allegati a email di spam, con una doppia estensione. Utilizzando questa semplice – quanto efficace - tecnica, i file eseguibili si presentano come non eseguibili.
Un altro vettore usato dai cyber criminali è quello di mascherare i file pericolosi come fossero delle applicazioni legittime immettendoli in vari percorsi online e nelle reti per la condivisione dei file.
Per poter invadere il sistema in maniera più efficace, il ransomware Crysis ne modifica il Registro per assicurarsi di essere eseguito a ogni avvio; quando viene eseguito, codifica tutti i tipi di file (inclusi quelli senza estensione), evitando quelli strettamente necessari al sistema operativo per avviarsi e i file appartenenti al malware. Il Trojan registra il nome del computer e alcuni file codificati da determinati formati, inviandolo poi a un server remoto controllato dai criminali. Su alcune versioni di Windows tenta di eseguire se stesso utilizzando i privilegi di amministratore, così da poter estendere l'elenco dei file da criptare.
Dopo aver completato le sue attività malevole, viene rilasciato nella cartella Desktop il file How to decrypt your files.txt, a volte accompagnato dall'immagine DECRYPT.jpg, in cui viene mostrata la richiesta di riscatto – di solito tra i 400 e i 900 euro - come se fosse uno sfondo per il desktop.

ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Smart Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it
FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
ESET Italia
Responsabile account:
Luca Sambucci (Responsabile pubblicazioni)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 271417