Trojan.Cryptolocker.S, il ransomware ispirato a Breaking Bad.


In questi giorni i ricercatori di sicurezza della Symantec hanno scoperto un nuovo virus che viene sfruttato dagli hacker per criptare i file delle vittime e poi minacciarle di cancellarli, a meno che non venga pagata una "riscatto". In altre parole si tratta di un ransomware il cui nome completo è Trojan.Cryptolocker.S e la cui particolarità consiste nel fatto che i suoi creatori si sono ispirati ad una delle serie Tv più amate di sempre: Breaking Bad. Infatti gli autori del malware in questione hanno "cucinato" il loro messaggio di richiesta di riscatto utilizzando il logo "Los Pollos Hermanos", ovvero il fast food del pollo fritto usato nella serie come una sorta di copertura della spedizione e la distribuzione di droghe, in particolare dei cristalli di metanfetamina. Ma non è tutto; parte dell'indirizzo e-mail utilizzato nella domanda di estorsione è basata su una citazione, usata da Walter White nel sesto episodio della quarta stagione: "Io sono colui che bussa!"; (visibile qui). Ad ogni modo, secondo gli esperti della Symantec, pare che per il momento Trojan.Cryptolocker.S stia prendendo di mira solo l'Australia, anche se non si conosce un numero esatto di computer infettati e l'FBI sta cercando di scoprire se situazioni simili saranno in aumento nel resto del mondo. Mentre, come già anticipato, riesce a crittografare immagini, video, documenti e molto altro sul computer infetto e successivamente chiede un pagamento di 450 dollari australiani per decifrare questi file; pagamento che deve essere effettuato in Bitcoin, (una valuta on-line abbastanza difficile da rintracciare e per questo sempre più il modo preferito dagli hacker per richiedere riscatti), entro un certo tempo, passato il quale il "riscatto" sale a 1.000 dollari australiani. Al riguardo i ricercatori di sicurezza sul blog della Symantec hanno spiegato: «Crediamo che il ransomware utilizzi tecniche di ingegneria sociale come mezzo per infettare le vittime. Il malware arriva attraverso un archivio zip dannoso, che utilizza il nome di un importante ditta trasportatrice nel nome del file. Questo archivio zip contiene un file dannoso chiamato "PENALTY.VBS (VBS.Downloader.Trojan)", che una volta eseguito, scarica il ransomware sul computer della vittima. La minaccia scarica e apre anche un file pdf legittimo per ingannare gli utenti a pensare che l'archivio zip iniziale non fosse un file dannoso». Ed hanno poi proseguito dichiarando: «Sulla base delle nostre analisi iniziali, la minaccia sembra utilizzare componenti o tecniche simili a un progetto di penetration-testing open-source, il quale utilizza i moduli di Microsoft PowerShell. Questo permette agli aggressori di eseguire il proprio script PowerShell nel computer infetto per attivare il ransomware. Inoltre il malware crittografa i file utilizzando una chiave casuale Advanced Encryption Standard, (AES). Questa chiave viene poi crittografata con una chiave pubblica RSA in modo che le vittime possano decifrare i propri file solamente ottenendo la chiave privata direttamente da chi ha sferrato l'attacco». Tra l'altro la richiesta di pagamento contiene dei collegamenti ad un video tutorial su come ottenere Bitcoin, in modo da assistere le vittime nel pagamento del riscatto. Per di più si apre anche un altro video in background nel quale si può ascoltare una canzone utilizzata in una stazione radio immaginaria del gioco Grand Theft Auto V, e che alcuni fan di Breaking Bad credono sia un "shout-out", (ovvero una pubblica espressione di ringraziamento e gratitudine). Comunque sia gli esperti di sicurezza hanno, infine, concluso facendo sapere: «Symantec continua ad essere alla ricerca di nuovi ransomware. I clienti di Symantec e Norton possono proteggersi da questa nuova minaccia attraverso la rilevazione Trojan.Cryptolocker.S. Si prega di visitare l'articolo "Ransomware: Come rimanere sicuri", per ulteriori informazioni e consigli tempestivi su come stare al sicuro dai pericoli dei ransomware».


Di seguito a lista dei formati dei file presi di mira:

- ai
- crt; csv
- db; doc; docm; docx; dotx
- gif
- jpeg; jpg
- lnk
- mp3; msi
- ods; one; ost
 - p12; pdf; pem; pps; ppsx; ppt; pptx; psd; pst; pub
- rar; raw; rtf
- tif; txt
- vsdx
- wma
- xls; xlsm; xlsx; xml
- zip

...la richiesta di pagamento:
 http://www.symantec.com/connect/sites/default/files/users/user-1013431/figure1.png
...e la pagina per effettuare il pagamento:
 http://www.symantec.com/connect/sites/default/files/users/user-1013431/figure2.png

Commenti

  1. Ruggeri Christian15:43

    sono curioso spero di provare presto questa cura..

    RispondiElimina

Posta un commento