Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Apr 11, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Uno dei timori espressi da molti esperti di sicurezza negli ultimi mesi riguardo i ransomware, è quello che si verifichi un “salto di qualità” nella capacità di diffusione dei malware.
Nonostante l’impatto dei ransomware sia notevole, per il momento i cyber-criminali si sono accontentati di utilizzare vettori di attacco piuttosto convenzionali, utilizzando email di phishing, Exploit Kit o caricando i ransomware su macchine già infettate da trojan.
Cosa succederebbe se qualcuno mettesse a punto un ransomware-worm in grado di diffondersi indipendentemente?
I primi tentativi di questo genere si stanno già verificando, anche se le tecniche usate dai pirati sono ancora piuttosto artigianali.
Lo stratagemma usato da Matrix, un ransomware comparso tempo fa ma ora distribuito in una nuova versione, è però piuttosto ingegnoso.
Matrix è un classico crypto-ransomware, programmato per cifrare tutti i file che individua in determinate cartelle e chiedere un riscatto in Bitcoin che la vittima deve pagare per ottenere la chiave che consente di “liberare” i file.
Mentre crittografa i dati, però, Matrix si dà anche da fare per cercare di diffondersi su altri computer. A questo scopo il malware crea una trappola piuttosto complessa.
Per prima cosa individua una serie di cartelle predefinite e ne modifica le proprietà in modo che siano nascoste. Poi crea un collegamento alla cartella stessa, che ha lo stesso nome e la stessa posizione. Insomma: agli occhi di chi guarda lo schermo, l’unica differenza rispetto a prima è che l’icona è cambiata da quella di una normale cartella a un collegamento.
In realtà c’è di più: nella cartella nascosta, infatti, c’è anche un file chiamato desktop.ini, che contiene il ransomware stesso. Il collegamento inserito al posto della cartella, inoltre, contiene una serie di istruzioni: %SystemRoot%\system32\cmd.exe /C explorer.exe “NomeCartella” & type “NomeCartella\desktop.ini” > “%TEMP%\OSw4Ptym.exe” && “%TEMP%\OSw4Ptym.exe”.
Quando si attiva il collegamento, di conseguenza, sul sistema viene per prima cosa aperta la cartella nascosta in explorer.exe, in modo che l’utente veda normalmente i file in essa contenuti. Nel frattempo, però, l’eseguibile viene copiato in una cartella temporanea e poi avviato.
Lo stratagemma permette di colpire i computer che si collegano a cartelle condivise del computer infetto, o che usano unità di memoria esterne che erano collegate al PC quando è stato infettato.
Il rischio di diffusione quindi è piuttosto limitato, per lo meno in ambito casalingo. Ma può diventare un problema più serio in un’azienda, dove la condivisione di cartelle e l’utilizzo di unità rimuovibili è più comune.
Mar 28, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 05, 2024 0
Mar 29, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...