Redazione RHC : 19 Ottobre 2022 08:00
Gli esperti della società Cyble hanno scoperto una serie di falsi siti per adulti che distribuiscono ransomware. Tuttavia, l’analisi dettagliata ha mostrato che il malware non crittografa i dati, ma distrugge deliberatamente le informazioni delle sue vittime.
Non si sa esattamente come gli operatori di questa campagna pubblicizzassero i loro siti, ma usano nomi host associati a foto erotiche: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com e sexy-photo[.]online .
I ricercatori affermano che su tali siti, ai visitatori viene automaticamente richiesto di scaricare un file eseguibile chiamato SexyPhotos.JPG.exe, che si maschera da immagine JPG.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Se l’utente tenta di aprirlo accettando all’immagine, il falso ransomware distribuirà quattro file eseguibili (del.exe, open.exe, windll.exe e windowss.exe) sul sistema, oltre al file avtstart.bat nella directory %temp%, per eseguirli.
Il file batch viene copiato sul sistema con tutti e quattro i file eseguibili nella cartella di avvio di Windows.
Il file windowss.exe viene quindi eseguito, rilasciando tre file aggiuntivi nel sistema, incluso windows.bat, che rinomina i file della vittima. Di seguito sono riportati i tipi di file e le cartelle che il malware prende di mira.
Di conseguenza, i file utente vengono rinominati in base a un unico modello, ad esempio Lock_1.fille, Lock_2.fille e così via. Sebbene i contenuti dei file interessati non vengano modificati o crittografati, non c’è modo per le vittime di scoprire i loro nomi originali.
Insieme a questo, nel sistema vengono visualizzate le note di riscatto (file readme.txt).
In questo messaggio, gli aggressori chiedono 300 dollari in bitcoin e dopo tre giorni minacciano di raddoppiare questo importo a 600 dollari per altri sette giorni.
Se l’utente non paga, il malware procede ad eliminare tutti i file dal sistema.
Come spiegano i ricercatori, qui non esiste alcuna crittografia dei file (solo un classico “rename”). Pertanto, è improbabile che gli autori di questo malware dispongano di uno strumento di recupero dei dati. Dopotutto, il malware non tenta nemmeno di preservare i nomi dei file originali durante l’infezione.
Peggio ancora, gli esperti ritengono che tale corruzione dei dati non sia affatto un incidente. Apparentemente, il malware è stato concepito proprio come un wiper (wiper, dall’inglese cancellare – “cancella”), ovvero distrugge intenzionalmente i dati delle sue vittime.
Ma dopo una falsa crittografia, il malware tenta di eseguire il file dell.exe, ma a causa di un errore di denominazione (che porta all’eliminazione di dell.exe), questo passaggio non funziona come dovrebbe. Se correggi viene corretto l’errore e si esegue il file, tutte le unità di sistema dalla A alla Z (ad eccezione dell’unità C:\) verranno eliminate completamente.
Gli analisti di Cyble notano che l’unico modo possibile per recuperare i dati dopo un attacco di questo malware è ripristinare il sistema operativo a un checkpoint precedente, poiché il falso ransomware non elimina le copie shadow.
La rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello St...
Una vulnerabilità critica nella versione desktop di Docker per Windows e macOS ha consentito la compromissione di un sistema host tramite l’esecuzione di un contenitore dannoso, anche se e...
Finalmente (detto metaforicamente), ci siamo arrivati. Gli esperti di ESET hanno segnalato il primo programma ransomware in cui l’intelligenza artificiale gioca un ruolo chiave. Il nuovo campio...
A partire da metà settembre, la Red Hot Cyber Academy inaugurerà un nuovo capitolo della propria offerta formativa con il lancio del corso “Prompt Engineering: dalle basi alla Cyberse...
SinCity torna a far parlare di sé, questa volta mettendo in vendita l’accesso amministrativo a un nuovo shop online italiano basato su PrestaShop. Secondo quanto dichiarato dallo stesso th...