In questi giorni è stato segnalato un nuovo ransomware che, anche se non ha ancora un nome, è probabilmente una variante del cryptovirus Mobef, già in circolo da Aprile 2016.
Questa nuova minaccia sembra colpire sistemi server: oltre a criptare i documenti sui dischi locali, cifra anche i file raggiungibili tramite condivisioni di rete o NAS. Il vettore non è ancora chiaro ma, probabilmente, non è legato a email, allegati o pagine web. Infatti, gli utenti che hanno segnalato un’infezione dal ransomware Lokmann.key993, hanno dichiarato di non aver aperto nessun allegato sospetto né di aver riscontrato tentativi di exploit.
Sicuramente questo ransomware è progettato per tentare, in prima battuta, di ottenere i privilegi da Amministratore.
Alla fine dell’infezione il ransomware lascia sul computer un file denominato “LOKMANN.KEY993”, file che contiene 1024 caratteri esadecimali (si presume una chiave da 512 byte), un file nel quale sono elencati i file che sono stati criptati e, infine, un file chiamato “HELLO.0MG” contenente la seguente nota di riscatto:
A differenza di Mobef, questo ransomware non mette in contatto diretto vittima e attaccante tramite bitmessage, ma fornisce precisi indirizzi email di contatto ai quali richiedere le informazioni necessarie al pagamento e al recupero dei file.
Questi gli indirizzi, variabili:
- parisher@protonmail.com
- parisher@inbox.lv
- parisher@mail.bg
- parisher@india.com
Gli utenti che hanno scritto ad uno degli indirizzi di posta elettronica si sono visti rispondere con la richiesta di allegare un file cifrato (con dimensioni inferiori a 1MB e poca importanza)e il file con la chiave LOKMANN.KEY993.
Il riscatto ammonta per ora a 5 bitcoin, ovvero circa 3000 euro.
Nessun commento:
Posta un commento