mercoledì 28 settembre 2016

In sviluppo un ransomware ispirato a Voldemort.



Negli ultimi mesi, si è notato che alcune delle “minori”, o meno distribuite, infezioni da ransomware hanno iniziato a inserire elementi della cultura pop  nei loro schermi di blocco (come si può notare nell'immagine) piuttosto che concentrarsi sui pagamento. Questo è evidente in un ransomware scoperto di recente che rende omaggio a Voldemort, il cattivo della serie di Harry Potter.



Il ransomware è stato chiamato come il serpente di Voldemort: Nagini. E’ attualmente in fase di sviluppo ed è stato progettato per lavorare solo su un particolare test system, ma può aiutarci a fare un quadro delle linee di sviluppo del mercato dei ransomware.

Quello che è interessante, ad esempio,  è che invece di chiedere un riscatto in bitcoin, chiede alle vittime il numero della carta di credito.

Osservando le stringhe nell'eseguibile si notano alcune caratteristiche interessanti, ad esempio la stringa integrata PDB mostra che lo sviluppatore del ransomware si chiama Colosseum.
C:\Users\Colosseum\documents\visual studio 2013\Projects\Cryptolocker\Release\Cryptolocker.pdb

Inoltre, essendo questo ransomware ancora in modalità di sviluppo, attacca solo file con estensioni doc, .docx, .ppt, .pptx, .xls, .xlsx, .bmp, .png, .jpg, .jpeg, .exe, e .pdf e che sono contenuti nella cartella C:\Users\Colosseum\Desktop\files\. 

Ancora, questo ransomware cerca i file chiamati C:\Temp\voldemort.horcrux, ma ancora è sconosciuto quale sia lo scopo di questo file.

File associati con il Ransomware Nagini: Nagini.exe

Voci di registro associate con il ransomware Nagini: HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Voldemort" = "[percorso verso]\Nagini.exe"

Nessun commento:

Posta un commento