Privacy Policy

mercoledì 23 agosto 2017

Scoperto il ransomware SyncCrypt che si nasconde in immagini jpeg

Il ricercatore della Emsisoft xXToffeeXx ha scoperto un nuovo ransomware che usa un metodo innovativo per infettare i sistemi, rendendosi all'inizio non rilevabile da quasi tutti gli antivirus. Il CertNazionale ha pubblicato un articolo inerente la scoperta.



Il metodo di diffusione usa, come di consueto, campagne SPAM tramite un allegato contenenti in apparenza ordinanze del tribunale o simili e viene veicolato tramite un file WSF il quale scarica tre immagini JPEG da tre diverse sorgenti nelle quali c'è a sua volta un file zip che alla decompressione installa tutti i file malevoli per attaccare il sistema ospite. 

Il file JPEG, se aperto, mostra la seguente schermata:



Il file compresso contiene tre file, il principale veicolo d'infezione è il file sync.exe il quale cifra i dati dell'utente con algoritmo AES, la chiave di cifratura viene a sua volta con una chiave pubblica RSA-4096 contenuta nel codice del malware e salvata nella directory Readme\Key

Il riscatto richiesto equivale a 0.1001270 BTC che sono circa € 350. Attualmente il file immagine viene rilevato da 18 antivirus su 58 come malevolo, la stessa cosa vale per il file principale sync.exe

Per ora non ci sono strumenti per il ripristino dei file criptati, quindi rimane importante la prevenzione, riportiamo alcuni articoli utili all'argomento:



Reazioni:

0 commenti :

Posta un commento