Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniMalware

Aggiornamenti sul ransomware (30 maggio 2016)

DMA Locker  Locky  Nemucod  ransomware  ScriptAttachment   lunedì, 30 maggio 2016

In questo articolo vengono riassunte brevemente le notizie di maggior rilievo riguardanti i malware appartenenti alla categoria del ransomware pubblicate nella quarta settimana di maggio del 2016 da siti specializzati in sicurezza informatica e altre fonti attendibili selezionate.

Indice delle notizie

DMA Locker 4.0 distribuito tramite Neutrino EK

Gli esperti di sicurezza di Malwarebytes mettono in guardia da una potenziale nuova ondata di infezioni del ransomware DMA Locker.

Da quando è stato individuato all’inizio del 2016, questo ransomware si è andato rapidamente evolvendo. Nelle sue prime incarnazioni, DMA Locker si installava su Desktop remoti compromessi ed era noto per essere piuttosto instabile, oltre che facilmente contrastabile. La versione più recente, la 4.0, scoperta il 19 maggio, viene distribuita tramite l’exploit kit Neutrino. Questo cambiamento è un chiaro indicatore della maturità di questo malware, e dimostra che questa minaccia è pronta per una diffusione su più vasta scala.

DMA Locker si presenta con l’estensione “.exe” e con l’icona di un documento PDF. Una volta eseguito sulla macchina della vittima, copia se stesso nella directory “C:\ProgramData” con il nome “svchosd.exe”. Oltre all’eseguibile principale, DMA Locker installa altri due file. Il primo, “cryptinfo.txt”, contiene la nota di riscatto. Il secondo, “select.bat”, è uno script che mostra la suddetta nota anche nel caso in cui il malware sia stato rimosso dal computer. Questo malware crea anche alcune chiavi di registro allo scopo di divenire persistente.

Una volta cifrati i file dell’utente, DMA Locker mostra la seguente finestra, da cui si evince che la cifra richiesta per il riscatto ammonta a 1 bitcoin (circa 480€):

Schermata di riscatto di DMA Locker

Le chiavi di cifratura vengono generate e scaricate direttamente dal server C&C. Nel caso di DMA Locker 4.0 il sito Web dove l’utente può acquistare la chiave per decifrare i sui dati non è posizionato nella rete anonimizzata TOR, ma utilizza un normale hosting il cui indirizzo IP viene utilizzato anche come server C&C.

Fonte: Malwarebytes

Nuova ondata di malware colpisce l’Europa: grande prevalenza del ransomware Locky

Gli analisti di ESET hanno registrato di recente un picco nelle rilevazioni del malware JS/Danger.ScriptAttachment in diversi paesi europei. I tassi di infezione più elevati riguardano  il Lussemburgo (67%), la Repubblica Ceca (60%), l’Austria (57%), i Paesi Bassi (54%) e il Regno Unito (51%).

Questa minaccia arriva sulle macchine delle vittime in forma di allegato a messaggi di Email ed è progettata per scaricare e installare diverse varianti di malware, la maggioranza dei quali è costituita da varie famiglie di ransomware, come Locky.

JS/Danger.ScriptAttachment ha le stesse funzionalità del trojan downloader Nemucod, che ha già colpito Internet a livello globale in diverse ondate.

Fonte: ESET

Ransomware Overview: disponibile online un database aggiornato di ransomware e relative contromisure

Diversi esperti di sicurezza hanno collaborato per rendere disponibile liberamente online a chiunque Ransomware Overview, un database continuamente aggiornato di ransomware noti e non ancora identificati, che mette a disposizione degli utenti informazioni tecniche sui singoli malware, link a tool di decifratura (quando presenti) e informazioni generiche sulle misure di prevenzione da adottare per utenti e imprese.

Il database è fornito sotto forma di Google Sheet, foglio di calcolo online, ed è anche possibile scaricarne una copia sul proprio PC in formato Microsoft Excel oppure ODS (OpenDocument Spreasheet). Fonti delle informazioni sono note società di ricerca e consulenza nel campo della cybersecurity e vendor di sicurezza.

Nota: l’efficacia dei tool per il recupero dei file indicati in questo documento non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possano funzionare in tutti i casi.

Fonte: Ransomware Blog

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto