Nuovo ransomware PiLocky diffuso tramite campagne email malevole

Untitled design 81 - Nuovo ransomware PiLocky diffuso tramite campagne email malevole

I laboratori Trend-Micro hanno individuato un nuovo tipo di ransomware denominato PiLocky che sta colpendo diversi paesi europei. Vediamo come agisce e che contromisure adottare contro questo ransom.

Diffuso tramite allegato email zippato

La diffusione, come anticipato, avviene attraverso campagne email malevole le quali contengono un file compresso in formato ZIP il quale, dopo esser stato eseguito, scarica ulteriori componenti del malware sul sistema tra cui il componente principale chiamato “lockyfud.exe”. 

Meno di 4 gb di memoria? No grazie, non cripto

Può sembrare strano, ma il ransom esegue la verifica delle caratteristiche hardware del sistema tramite gli strumenti WMI (Windows Management Instrumentation) e se il sistema ha meno di 4GB di memoria RAM la cifratura dei file NON avviene. 

Ad

I tipi di file cifrati dal ransom sono i seguenti:
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

La schermata di “riscatto” visualizzata è la seguente, molto simile per altro al ransomware Locky:

Per fortuna sembra che questo ransomware venga individuato senza troppi problemi dagli antivirus come evidenziato da Virustotal

Leggi  Mozilla rilascia add-on per limitare il tracciamento via Facebook

Vogliamo inoltre rammentare alcune risorse utili all’argomento:

Fonte ad approfondimento: A Closer Look at the Locky Poser, PyLocky Ransomware

profilo01 80x80 - Nuovo ransomware PiLocky diffuso tramite campagne email malevole
Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
profilo01 80x80 - Nuovo ransomware PiLocky diffuso tramite campagne email malevole
Seguimi
(Visited 19 times, 1 visits today)
Ad