Filecoder.NFR, il nuovo ransomware che finge di essere Google Chrome

Nella prima settimana di gennaio gli internauti italiani sono stati i più colpiti a livello mondiale
dalle diverse varianti di Filecoder, con il 6,35% delle infezioni

E’ stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che si distingue dagli altri perché finge di essere il file necessario a eseguire il browser Chrome di Google. Win32/Filecoder.NFR funziona come un ‘ransomware as a Service’ (RaaS) collegato a un server nascosto nella rete TOR (acronimo di The Onion Router, necessario per navigare nel Deep Web). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo. I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.

Secondo i dati di Live Grid®, l’esclusiva tecnologia Cloud di ESET che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.

Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema. Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.

Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.Un altro dettaglio degno di nota che differenzia Filecoder.NFR da altre minacce simili è la sua grande dimensione, circa 45 MB, a dispetto delle dimensioni usualmente piccole dei ransomware. Questo probabilmente poiché Filecoder.NFR cerca di ingannare l’utente fingendo le stesse dimensioni del file originale.

Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l’uso di altri Trojan-Downloader o di backdoor.
I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato. Quest’ultima viene crittografata usando l’algoritmo RSA e viene ottenuta una chiave pubblica dal server C2 durante la prima comunicazione.

Prendendo spunto dalla diffusione di questa variante di Filecoder, ESET Italia vi ripropone i suggerimenti per difendersi da questo tipo di minacce ed evitare che i propri file vengano codificati:

1) utilizzare un utente non amministratore
 2) mantenere l’antivirus aggiornato
3) mantenere il firewall attivo
 4) installare sempre le patch sicurezza windows mensili
 5) MAI scaricare ed installare programmi freeware dei quali non sia assolutamente affidabile la provenienza e la autenticità
 6) MAI scaricare allegati di posta elettronica dei quali non sia assolutamente affidabile la provenienza e la autenticità
 7) mantenere sempre aggiornati tutti i programmi che si interfacciano con il web e quindi per esempio il browser di navigazione,
    acrobat adobe (si si utilizza), windows media player, java, ecc… l’elenco può essere molto lungo dipende da quali programmi si utilizzano.

Ricordiamo che senza l’installazione delle ultime patch di sicurezza della microsoft, l’efficacia di
antivirus e firewall qualunque sia la casa di produzione è notevolmente ridotta.

Oltre a queste indicazioni di base, suggeriamo per quanto possibile di non utilizzare sul PC un utente AMMINISTRATORE, che ha necessariamente accesso a tutte le risorse del sistema: file, indirizzi di memoria, documenti, immagini, eseguibili dei programmi e driver.

Attuare queste misure non solo vi difenderà dai ransomware, ma ridurrà drasticamente la possibilità che il sistema venga infettato da qualsiasi tipo di malware.