Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuova variante di Locky diffusa mediante documenti Office

Locky  office  ransomware   lunedì, 13 novembre 2017

I ricercatori di Avira Virus Lab hanno recentemente scoperto una nuova variante del noto ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office.

I documenti contengono l’immagine di una busta (vedi Figura 1) e un messaggio che invita l’utente a fare doppio clic sull’immagine per sbloccare il contenuto del documento.

Documento Office Locky

Figura 1 – Documento Office che distribuisce il ransomware Locky

L’immagine è collegata ad un file “.lnk”, ossia un file di collegamento rapido di Windows, che punta ad uno script PowerShell che a sua volta scarica ed esegue un secondo script da un URL predefinito codificato al suo interno. 

Il secondo script si connette ad Internet e scarica nella cartella dei file temporanei di Windows (%temp%) il file eseguibile “losos1.exe”. Il codice di questo eseguibile, compilato con Microsoft Visual C/C++ (2013), contiene diversi stadi di offuscamento che, nelle intenzioni dei suoi autori, dovrebbero renderne difficile l’analisi e confondere l’utente, inducendolo a credere che si tratti di un’applicazione Windows legittima.

Una volta eseguito, il codice malevolo lancia una copia di se stesso in memoria mediante un processo “svchost.exe” e cancella il file originale. Come prima cosa il malware raccoglie una serie di informazioni sulla macchina locale e le invia in forma cifrata ad un server C&C, dal quale riceve la chiave con la quale cifra i file dell’utente. Questa variante di Locky modifica l’estensione dei file cifrati in “.asasin” e mostra alla vittima la schermata contenente la nota di riscatto illustrata in Figura 2.

Schermata di riscatto di Locky

Figura 2 – La schermata di riscatto del ransomware Locky

Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questa variante del ransomware Locky. Fortunatamente, la capacità di individuazione di Locky da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2018)

10 ottobre 2018

Nella giornata del 9 ottobre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer, Edge, Office, SharePoint e Exchange.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto