Scoperto il ransomware SyncCrypt che si nasconde in immagini jpeg

Scoperto il ransomware SyncCrypt che si nasconde in immagine jpeg - Scoperto il ransomware SyncCrypt che si nasconde in immagini jpeg
Il ricercatore della Emsisoft xXToffeeXx ha scoperto un nuovo ransomware che usa un metodo innovativo per infettare i sistemi, rendendosi all’inizio non rilevabile da quasi tutti gli antivirus. Il CertNazionale ha pubblicato un articolo inerente la scoperta.
 
 
 
Il metodo di diffusione usa, come di consueto, campagne SPAM tramite un allegato contenenti in apparenza ordinanze del tribunale o simili e viene veicolato tramite un file WSF il quale scarica tre immagini JPEG da tre diverse sorgenti nelle quali c’è a sua volta un file zip che alla decompressione installa tutti i file malevoli per attaccare il sistema ospite. 
 
Il file JPEG, se aperto, mostra la seguente schermata:
 
image installer - Scoperto il ransomware SyncCrypt che si nasconde in immagini jpeg
 
 
Il file compresso contiene tre file, il principale veicolo d’infezione è il file sync.exe il quale cifra i dati dell’utente con algoritmo AES, la chiave di cifratura viene a sua volta con una chiave pubblica RSA-4096 contenuta nel codice del malware e salvata nella directory ReadmeKey
 
Il riscatto richiesto equivale a 0.1001270 BTC che sono circa € 350. Attualmente il file immagine viene rilevato da 18 antivirus su 58 come malevolo, la stessa cosa vale per il file principale sync.exe
 
Per ora non ci sono strumenti per il ripristino dei file criptati, quindi rimane importante la prevenzione, riportiamo alcuni articoli utili all’argomento:
 
 
 
(Visited 34 times, 1 visits today)