Sono trascorse due settimane da quando ESET ha scoperto che il ransomware TeslaCrypt ha terminato le sue attività e ha creato il TeslaCrypt decryptor che permette alle vittime di questo ransomware di poter recuperare i propri file. Da allora, oltre 32000 utenti in tutto il mondo hanno sfruttato questa opportunità e hanno scaricato lo strumento.
Pur se il TeslaCrypt ha abbandonato il campo, le famiglie di malware creati a scopo di estorsione non hanno perso la loro appetibilità per i criminali informatici. Grazie alle incessanti ondate di JS/TrojanDownloader.Nemucod e JS/Danger.ScriptAttachment che tentano di scaricare diverse varianti di Locky, sembrerebbe che questo ransomware si stia seriamente candidando a rivendicare lo scettro del TeslaCrypt.Ma secondo le statistiche di ESET LiveGrid®, che ne mostrano un elevato livello di prevalenza, c’è un altro concorrente, il cosiddetto Win32/Filecoder.Crysis.
Le analisi di ESET mostrano che questo pericoloso ransomware è in grado di codificare i file sui dischi fissi, su quelli rimovibili e su quelli di rete, utilizzando un algoritmo crittografico molto complesso e uno schema che rende molto difficile ripristinare i file in tempi ragionevoli.
I ricercatori di ESET hanno notato diversi approcci utilizzati da questo malware per diffondersi: nella maggior parte dei casi i file del ransomware Crysis vengono distribuiti come allegati a email di spam, con una doppia estensione. Utilizzando questa semplice – quanto efficace – tecnica, i file eseguibili si presentano come non eseguibili.
Un altro vettore usato dai cyber criminali è quello di mascherare i file pericolosi come fossero delle applicazioni legittime immettendoli in vari percorsi online e nelle reti per la condivisione dei file.
Per poter invadere il sistema in maniera più efficace, il ransomware Crysis ne modifica il Registro per assicurarsi di essere eseguito a ogni avvio; quando viene eseguito, codifica tutti i tipi di file (inclusi quelli senza estensione), evitando quelli strettamente necessari al sistema operativo per avviarsi e i file appartenenti al malware. Il Trojan registra il nome del computer e alcuni file codificati da determinati formati, inviandolo poi a un server remoto controllato dai criminali. Su alcune versioni di Windows tenta di eseguire se stesso utilizzando i privilegi di amministratore, così da poter estendere l’elenco dei file da criptare.
Dopo aver completato le sue attività malevole, viene rilasciato nella cartella Desktop il file How to decrypt your files.txt, a volte accompagnato dall’immagine DECRYPT.jpg, in cui viene mostrata la richiesta di riscatto – di solito tra i 400 e i 900 euro – come se fosse uno sfondo per il desktop.
Lascia un commento