Header Top
Logo
Martedì 21 Novembre 2017

Logo
Corpo Pagina
Breadcrumbs
  • Home
  • Cronaca
  • Ransomware, variante Locky diffusa con documenti digitali

colonna Sinistra
Martedì 14 novembre 2017 - 11:37

Ransomware, variante Locky diffusa con documenti digitali

Scoperta fatta dai ricercatori di Avira Virus Lab
20171114_113751_41E41E07

Roma, 14 nov. (askanews) – Una nuova variante del noto ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office è stata scoperta dai ricercatori di Avira Virus Lab – I documenti – riporta il sito del Cert Nazionale – contengono l’immagine di una busta e un messaggio che invita l’utente a fare doppio clic sull’immagine per sbloccare il contenuto del documento.

L’immagine è collegata ad un file “.lnk”, ossia un file di collegamento rapido di Windows, che punta ad uno script PowerShell che a sua volta scarica ed esegue un secondo script da un Url predefinito codificato al suo interno. Il secondo script si connette ad Internet e scarica nella cartella dei file temporanei di Windows (%temp%) il file eseguibile “losos1.exe”. Il codice di questo eseguibile, compilato con Microsoft Visual C/C++ (2013), contiene diversi stadi di offuscamento che, nelle intenzioni dei suoi autori, dovrebbero renderne difficile l’analisi e confondere l’utente, inducendolo a credere che si tratti di un’applicazione Windows legittima.

Una volta eseguito, il codice malevolo lancia una copia di se stesso in memoria mediante un processo “svchost.exe” e cancella il file originale. Come prima cosa il malware raccoglie una serie di informazioni sulla macchina locale e le invia in forma cifrata ad un server C&C, dal quale riceve la chiave con la quale cifra i file dell’utente. Questa variante di Locky modifica l’estensione dei file cifrati in “.asasin” e mostra alla vittima la schermata contenente la nota di riscatto. Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questa variante del ransomware Locky. Fortunatamente, evidenziano gli esperti, la capacità di individuazione di Locky da parte dei più diffusi antivirus risulta molto elevata.

(Fonte: Cyber Affairs)

CONDIVIDI SU:





articoli correlati
ARTICOLI CORRELATI:
Contenuti sponsorizzati
Barra destra
Torna su