Ransom32

Il 2016 è appena arrivato e dopo tutti i festeggiamenti e buoni propositi, riecco le vecchie minacce. La notizia del nuovo CryptoVirus Ransom32 ha fatto il giro del web e social network nel giro di poche ore grazie a Fabian Wosar che lo ha analizzato.

Si tratta del primo Cryptovirus realizzato con il framework Nw.js, ed è proprio questa l’arma in più.  Infatti, “Grazie a Nw.js, gli sviluppatori di applicazioni desktop hanno il beneficio di far operare lo stesso codice Javascript su diverse piattaforme”, dice Wosar nella sua analisi, “Così, un’applicazione con Nw.js viene scritta una sola volta ed utilizzabile su Windows, Linux e MacOs X”. Al momento però non ci sono notizie che confermano la vulnerabilità di Linux e MacOs X visto che gli unici sistemi ad essere infettati sono basati su Windows.

Il funzionamento di base del nuovo malware simile ai precedenti, sfrutta la rete Tor (sistema di comunicazione anonima) per comunicare con server Command & Contronl e crypta il contenuto del computer chiedendo il riscatto per recuperare i file, in bitcoin.

Ecco le estensioni dei file colpiti dal Cryptovirus:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

Questo risparmia i file che si trovano nelle directory:

  • :\windows\
  • :\winnt\
  • programdata\
  • boot\
  • temp\
  • tmp\
  • $recycle.bin\

Risulta evidente che ha poco senso spostare i file di uso comune in queste directory, ma il nostro consiglio è: correte a fare un Backup o contattateci per eventuali consulenze o consigli sulle procedure migliori da attuare.

Il Backup, non a caso con la B maiuscola, è il processo più importante della gestione informatica di un azienda. Questo garantisce il recupero delle informazioni in diverse circostanze che vanno dalla banale cancellazione di un file al recupero e ripristino di guasti più seri su server e postazioni di lavoro. Tutto però, non finisce all’attuazione della procedura di backup, ma è indispensabile verificare periodicamente che la procedura venga effettuata regolarmente: magari nuovi archivi aggiunti non vengono salvati, vengono salvati file inutili o vecchi che potrebbero occupare spazio inutile, oppure altre problematiche potrebbero inibire il funzionamento avendo così un backup inutile.

Oltre la procedura di backup è possibile attuare piccoli accorgimenti che possono evitare l’esecuzione di software maligno:

  • inibire l’esecuzione di file da cartelle Temporanee e dalle cartelle %AppData% degli utenti;
  • diffidare da email o siti web non autorevoli per scaricare software gratuito;
  • diffidare da email con allegati sospetti (es. zip, pdf, doc);

Infine un Antivirus aggiornato e con periodicità effettuare le scansioni, naturalmente siamo a disposizione per qualsiasi informazione o consiglio.

Ah, dimenticavo… Buon Anno! 😛

Share
This