Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi. I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in “bundle” con software altrimenti legittimi e viene installato insieme all’app manipolata.
Le soluzioni G DATA riconoscono e rimuovono questo malware. Ciò che rende Manamecrypt fondamentalmente differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, è che il campione analizzato non si diffonde tramite mail o exploit kit bensì attraverso software legittimi, può quindi essere classificato come classico trojan. Il bundle consiste di un client µTorrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con sé la componente nociva “on top”. Quando il malware completa l’installazione sul PC un avviso incoraggia gli utenti a pagare un riscatto per decifrare i loro dati compromessi.
La somma di denaro è richiesta in Bitcoin, una moneta virtuale esprimibile con un numero a 8 cifre decimali. Anche il comportamento del malware una volta installato è differente da altri ransomware, tra cui Locky, Petya o Teslacrypt, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati. Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:
CryptoHost si rivolge al sistema operativo Windows ed è attualmente distribuito attraverso un programma di installazione di uTorrent compromesso. Una volta installato, estrae il suo file eseguibile nella cartella %AppData% e lo lancia. Si tenta quindi di eliminare la chiave di Registro HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot per evitare che il sistema venga avviato in modalità provvisoria e monitora le stringhe associate a software di sicurezza. Manamecrypt ransomware crea una nuova voce del Registro di Sistema nel seguente percorso: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
In questo modo il malware viene caricato ad ogni riavvio. Interessanti anche le stringhe colpite dal ransomare. L'unica buona notizia è che le attuali versioni dei file Manamecrypt sono con crittografia reversibile Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l’articolo completo sul G DATA SecurityBlog: http://bit.ly/1Tk3aLJ. Come prevenire le infezioni: installare una soluzione di sicurezza che include uno scanner anti-malware e tecnologie proattive per l’identificazione di minacce sconosciute; il software dovrebbe essere scaricato esclusivamente dalla pagina ufficiale dei rispettivi produttori.
E’ importante effettuare regolarmente backup di documenti e dati importanti; le applicazioni installate vanno aggiornate rapidamente, non appena è disponibile l’aggiornamento da parte del produttore; esaminare con cautela le email ricevute da sconosciuti. La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l’inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum, più di 28 anni fa sviluppò il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT. Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it.
Nessun commento:
Posta un commento