giovedì 1 settembre 2016

Ransomware: individuata una nuova variante del ransomware Zepto



I Lab Quick Heal hanno individuato una nuova variante del ransomware Zepto (evoluzione a sua volta di CryptXXX), del quale puoi trovare qui altre info.

Come si diffonde:
Esattamente come le  precedenti versioni, Zepto si diffonde tramite campagne mail di spam contenenti allegati dannosi. L'allegato contiene, di solito, file JS o WSF. 
Il doppio clic sul file dell'utente ignaro ha come conseguenza l'esecuzione del codice dannoso nasosto all'interno del file: l'esecuzione è eseguita dal Windows Script Host (wscript.exe), apllicazione integrata sul Sistema Operativo Windows per avviare gli script.


La criptazione: 
Una volta eseguit il file, wscript tenta di connettersi ad alcuni link dannosi per scaricare il payload del ransomware, che è un file criptato senza estensione. Il file viene quindi decriptato nel file DLL.  Al contrario quindi della vecchia versione, il ransomware non è autoeseguibile, perchè i file DLL non si auto eseguono. Così wscript attiva rundll.32.exe, un altro file del sistema operativo Windows che esegue le librerie DLL.




A questo punto si avvia la criptazione: i file divengono illeggibili e l'estensione degli stessi viene modificata in .zepto.








Finita la criptazione, il ransomware cambia lo sfondo del desktop e apre un file che mostra un testo con la richiesta di riscatto.







Infine il ransomware si auto cancella al fine di sfuggire alle analisi degli analisti di sicurezza informatica.

Alcuni consigli utili:
La migliore difesa contro i ransomware è la prevenzione: impedire cioè di avviare il file dannoso. 

1. Esegui sempre una copia di backup dei dati importanti, in maniera continuativa e regolare. Potrai così, in caso di infezione, avere a disposizione una fonte per ripristinare i file. Ricordati di disconnetterti da Internet mentre esegui il backup dei file su un supporto (hard disk o chiavetta) esterno. Rimuovi il dispositivo dal pc prima di connetteri di nuovo. Ci sono anche molti servizi di backup in cloud che potrebbero fare al caso tuo.

2. Non scaricare mai allegati o cliccare su link contenuti in email ricevute da fonti sconosciute, inaspettate, indesiderate, anche se ti appaiono familiari (una email che sembra essere della tua banca o del tuo operatore telefonico).

3. Cerca di non fare mai clic sui pop up pubblicitari.

4. Esegui tutti gli aggiornamenti di sicurezza raccomandati per il tuo sistema operativo, browser e software.

5. Installa sul tuo pc un antivirus che sia in grado di bloccare efficientemente lo spam e le email dannose e capace di impedire automaticamente l'accesso a siti dannosi. 

Nessun commento:

Posta un commento