Nuovo allarme ransomware, uno dei crimini più diffusi e distruttivi degli ultimi anni, che ritorna con rinnovata dirompenza a far parlare di sé. Versioni estremamente subdole e non rilevabili dai comuni antivirus sono state rilevate nelle ultime ore.

Il codice dannoso chiede com'è noto un riscatto per sbloccare i dati presi in ostaggio e resi indisponibili per mezzo della crittografia. Stime dell'FBI rivelano che il ransomware intrappola migliaia di vittime ogni settimana, con perdite quantificabili in milioni di dollari. Risulta che Cryptowall 3.0 in particolare abbia fatto racimolare la cifra di 325 milioni di dollari solo nel 2015.

Minaccia per i siti

Un'ultima versione, denominata "Linux.Encoder.1" ha come obiettivo siti alimentati dal sistema operativo Linux. In genere il malware, anziché utilizzare tecniche di phishing o spear phishing, ricerca versioni di CMS - come Joomla, WordPress o Magento - e viene iniettato nei siti web tramite vulnerabilità note di plugin o software di terze parti.

Una volta raggiunta la macchina host, il malware agisce crittografando tutti i file nelle directory "home" sul sistema, nonché le directory di backup e la maggior parte delle cartelle di sistema tipicamente associate ai file del sito web - immagini, pagine, librerie di codice e script.

Cryptowall 4.0

Nuova versione per Cryptowall, per il quale è stato modificato il protocollo con cui comunica con i server di comando, risultando trasparente a firewall anche di ultima generazione.

In particolare è stato modificato il sistema di download per eludere antivirus e altre protezioni. Cryptowall rinomina i file di cui sequestra il contenuto, così da rendere difficile capire quali sono i documenti criptati e se sia disponibile copia di backup.
Una variante codifica al volo il flusso di dati indirizzati al backup: il risultato è che l’utente soltanto in ritardo scopre mesi di backup contenenti file criptati.

L'infezione è stata individuata negli Stati Uniti, in India e in Cina, oltre a molti paesi dell’Europa occidentale come Francia, Italia, Germania e Spagna.

Sembra tuttavia essere stato messo a punto un 'vaccino' in grado di impedire di essere infettati dal malware. L'azienda antivirus Bitdefender ha rilevato infatti come il malware non infetti le macchine se rileva il russo come lingua della tastiera.
Lo strumento può essere scaricato gratuitamente, ma non annulla il danno se la macchina è già stata infettata.

Chimera: minaccia alla privacy

Chimera è un altro malware appartenente alla famiglia dei ransomware che oltre a crittografare i file, minaccia gli utenti, in caso di mancato pagamento, di pubblicare online dati, foto e video contenuti sul loro pc. Al momento la campagna di malware sembra riguardare principalmente la Germania.

Gli aggressori si rivolgono principalmente alle aziende con l'invio di falsi messaggi di posta elettronica che contengono solitamente un link ad un file dannoso ospitato su Dropbox.


Fonte: Yarix