Redazione RHC : 19 Ottobre 2022 08:00
Gli esperti della società Cyble hanno scoperto una serie di falsi siti per adulti che distribuiscono ransomware. Tuttavia, l’analisi dettagliata ha mostrato che il malware non crittografa i dati, ma distrugge deliberatamente le informazioni delle sue vittime.
Non si sa esattamente come gli operatori di questa campagna pubblicizzassero i loro siti, ma usano nomi host associati a foto erotiche: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com e sexy-photo[.]online .
I ricercatori affermano che su tali siti, ai visitatori viene automaticamente richiesto di scaricare un file eseguibile chiamato SexyPhotos.JPG.exe, che si maschera da immagine JPG.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Se l’utente tenta di aprirlo accettando all’immagine, il falso ransomware distribuirà quattro file eseguibili (del.exe, open.exe, windll.exe e windowss.exe) sul sistema, oltre al file avtstart.bat nella directory %temp%, per eseguirli.
Il file batch viene copiato sul sistema con tutti e quattro i file eseguibili nella cartella di avvio di Windows.
Il file windowss.exe viene quindi eseguito, rilasciando tre file aggiuntivi nel sistema, incluso windows.bat, che rinomina i file della vittima. Di seguito sono riportati i tipi di file e le cartelle che il malware prende di mira.
Di conseguenza, i file utente vengono rinominati in base a un unico modello, ad esempio Lock_1.fille, Lock_2.fille e così via. Sebbene i contenuti dei file interessati non vengano modificati o crittografati, non c’è modo per le vittime di scoprire i loro nomi originali.
Insieme a questo, nel sistema vengono visualizzate le note di riscatto (file readme.txt).
In questo messaggio, gli aggressori chiedono 300 dollari in bitcoin e dopo tre giorni minacciano di raddoppiare questo importo a 600 dollari per altri sette giorni.
Se l’utente non paga, il malware procede ad eliminare tutti i file dal sistema.
Come spiegano i ricercatori, qui non esiste alcuna crittografia dei file (solo un classico “rename”). Pertanto, è improbabile che gli autori di questo malware dispongano di uno strumento di recupero dei dati. Dopotutto, il malware non tenta nemmeno di preservare i nomi dei file originali durante l’infezione.
Peggio ancora, gli esperti ritengono che tale corruzione dei dati non sia affatto un incidente. Apparentemente, il malware è stato concepito proprio come un wiper (wiper, dall’inglese cancellare – “cancella”), ovvero distrugge intenzionalmente i dati delle sue vittime.
Ma dopo una falsa crittografia, il malware tenta di eseguire il file dell.exe, ma a causa di un errore di denominazione (che porta all’eliminazione di dell.exe), questo passaggio non funziona come dovrebbe. Se correggi viene corretto l’errore e si esegue il file, tutte le unità di sistema dalla A alla Z (ad eccezione dell’unità C:\) verranno eliminate completamente.
Gli analisti di Cyble notano che l’unico modo possibile per recuperare i dati dopo un attacco di questo malware è ripristinare il sistema operativo a un checkpoint precedente, poiché il falso ransomware non elimina le copie shadow.
RedazioneUn’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...
