Redazione RHC : 19 Ottobre 2022 08:00
Gli esperti della società Cyble hanno scoperto una serie di falsi siti per adulti che distribuiscono ransomware. Tuttavia, l’analisi dettagliata ha mostrato che il malware non crittografa i dati, ma distrugge deliberatamente le informazioni delle sue vittime.
Non si sa esattamente come gli operatori di questa campagna pubblicizzassero i loro siti, ma usano nomi host associati a foto erotiche: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com e sexy-photo[.]online .
I ricercatori affermano che su tali siti, ai visitatori viene automaticamente richiesto di scaricare un file eseguibile chiamato SexyPhotos.JPG.exe, che si maschera da immagine JPG.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Se l’utente tenta di aprirlo accettando all’immagine, il falso ransomware distribuirà quattro file eseguibili (del.exe, open.exe, windll.exe e windowss.exe) sul sistema, oltre al file avtstart.bat nella directory %temp%, per eseguirli.
Il file batch viene copiato sul sistema con tutti e quattro i file eseguibili nella cartella di avvio di Windows.
Il file windowss.exe viene quindi eseguito, rilasciando tre file aggiuntivi nel sistema, incluso windows.bat, che rinomina i file della vittima. Di seguito sono riportati i tipi di file e le cartelle che il malware prende di mira.
Di conseguenza, i file utente vengono rinominati in base a un unico modello, ad esempio Lock_1.fille, Lock_2.fille e così via. Sebbene i contenuti dei file interessati non vengano modificati o crittografati, non c’è modo per le vittime di scoprire i loro nomi originali.
Insieme a questo, nel sistema vengono visualizzate le note di riscatto (file readme.txt).
In questo messaggio, gli aggressori chiedono 300 dollari in bitcoin e dopo tre giorni minacciano di raddoppiare questo importo a 600 dollari per altri sette giorni.
Se l’utente non paga, il malware procede ad eliminare tutti i file dal sistema.
Come spiegano i ricercatori, qui non esiste alcuna crittografia dei file (solo un classico “rename”). Pertanto, è improbabile che gli autori di questo malware dispongano di uno strumento di recupero dei dati. Dopotutto, il malware non tenta nemmeno di preservare i nomi dei file originali durante l’infezione.
Peggio ancora, gli esperti ritengono che tale corruzione dei dati non sia affatto un incidente. Apparentemente, il malware è stato concepito proprio come un wiper (wiper, dall’inglese cancellare – “cancella”), ovvero distrugge intenzionalmente i dati delle sue vittime.
Ma dopo una falsa crittografia, il malware tenta di eseguire il file dell.exe, ma a causa di un errore di denominazione (che porta all’eliminazione di dell.exe), questo passaggio non funziona come dovrebbe. Se correggi viene corretto l’errore e si esegue il file, tutte le unità di sistema dalla A alla Z (ad eccezione dell’unità C:\) verranno eliminate completamente.
Gli analisti di Cyble notano che l’unico modo possibile per recuperare i dati dopo un attacco di questo malware è ripristinare il sistema operativo a un checkpoint precedente, poiché il falso ransomware non elimina le copie shadow.
RedazioneAvevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
