Alfonso Maruccia

CryptoLocker, ransomware in variante videoludica

Il famigerato malware sequestra-file torna a infettare i computer degli utenti, questa volta con la predilezione per i dati connessi a videogiochi, software house e piattaforme ludiche tra le più popolari su PC

Roma - I ricercatori di sicurezza hanno scoperto una nuova variante di CryptoLocker, il famigerato ransomware che si è guadagnato gli onori della cronaca per l'elaborato meccanismo di cifratura impiegato nel bloccare e "prendere in ostaggio" i file presenti sui PC infetti.

Identificato da Bromium Labs, il nuovo CryptoLocker si fa notare soprattutto per la sua capacità di criptare i file appartenenti a popolari videogiochi per computer e non solo. Com'è tradizione, il malware prova prima di tutto a infettare il sistema con un file Flash malformato.
Dal pacchetto SWF vulnerabile si passa poi a un sito Web compromesso (basato su WordPress) e infine all'exploit kit Angler, pacchetto a cui viene deputata l'individuazione di falle sul client che permettano l'installazione del malware.

TeslaCrypt, nome con cui è stata battezzata la nuova variante di CryptoLocker, è progettato per fare la scansione dei dischi locali alla ricerca di ben 185 diverse tipologie di file inclusi immagini, documenti, database, codice sorgente e altro.
Su tutti, il malware predilige le estensioni dei file di dati appartenenti a giochi estremamente popolari come Dragon Age: Origins, Half-Life 2, Call of Duty, Minecraft e MMOG come Warcraft o Day Z. Non si salvano nemmeno le piattaforme Internet-dipendenti come Steam, e i file specifici di software house come Electronic Arts, Valve o Bethesda.

L'obiettivo principale di TeslaCrypt è ovviamente quello di fare soldi, e a tale scopo gli utenti infetti vengono istruiti su come pagare il riscatto in Bitcoin su un sito nella darknet di Tor. Superato il tempo limite la chiave privata usata per cifrare i file sarà distrutta e i dati non saranno più recuperabili, avvertono i cyber-criminali, anche se in passato una simile minaccia si è rivelata vera solo a metà.

Alfonso Maruccia
Notizie collegate
  • SicurezzaLe campagne estive del ransomwareUn nuovo malware crittografico prende di mira i NAS di Synology, mentre gli esperti di sicurezza lavorano per fornire soluzioni di salvataggio per i file blindati dal ransomware noto come Cryptolocker
21 Commenti alla Notizia CryptoLocker, ransomware in variante videoludica
Ordina
  • Non avevano catturato gli atuori di cryptolocker e trovato il modo di decriptare i file ?
  • > Non avevano catturato gli atuori di cryptolocker
    > e trovato il modo di decriptare i file

    Solo una primissima versione di questa categoria di malware.
    Quando catturarono i personaggi, e si fecero dare il sorgente, i crittografi, si resero conto che si potevano poi recuperare i files, perchè era stata trovata una falla nell'algoritmo di generazioni delle chiavi, che rendeva predicibile quella privata.
    In seguito gli altri che presero spunto da questa prima versione, ne svilupparono altre immuni a questi problemi, e sembra che non sia possibile decrittare piu nulla, salvo pagando...
    non+autenticato
  • - Scritto da: Sisko212
    > > Non avevano catturato gli atuori di cryptolocker
    > > e trovato il modo di decriptare i file
    >
    > Solo una primissima versione di questa categoria
    > di
    > malware.
    > Quando catturarono i personaggi, e si fecero dare
    > il sorgente, i crittografi, si resero conto che
    > si potevano poi recuperare i files, perchè era
    > stata trovata una falla nell'algoritmo di
    > generazioni delle chiavi, che rendeva predicibile
    > quella
    > privata.
    > In seguito gli altri che presero spunto da questa
    > prima versione, ne svilupparono altre immuni a
    > questi problemi, e sembra che non sia possibile
    > decrittare piu nulla, salvo
    > pagando...

    Oppure facendo backup
  • Se non altro perchè nessun hard disk è eterno (apparte il discorso malware).
    non+autenticato
  • Attualmente c'è un sito che sfruttando un grid e le tabelle hash con un paio di files di prova recupera la chiave, lui prende 30 euro, poi un intermediario che non fa altro che fare da passafiles ma più "famoso" ne prende 70.
    Successo alla zia di una mia amica qualche giorno fa, io ero via, lei aveva fretta e la nipote ha detto, bè, caccia 70 euro e finiamola.

    Decodificati tutti i files in giornata. Versione crypto mi pare .255 o giu di li.
    non+autenticato
  • a furia di sentir malware ai sistemi winzozz quasi quasi mi vien voglia di disabilitare rkhunder & clamav nella sala mailserver e buoa festa ai windozziani A bocca aperta
    non+autenticato
  • Io ho windows7 e XP in dual boot, ma per come gestisco il sistema questo è immune a malware passati, presenti e futuri. Quando sento parlare di malware e amenità varie non capisco come possa accadere ancora nel 2015, i malware sono solo il frutto dell'ignoranza di chi usa il computer. Bah ...
    non+autenticato
  • Minimo ti becchi un malware dopo questa frase.
  • In meno di 240 secondi potrebbe non essere mai esistito. Alcuni di questi programmi da niubbi si chiudono da Task Manager e poi si cancellano i file, fatto su computer di chi non sa nulla di informatica.
    non+autenticato
  • Se è possibile farlo con windows allora si può fare con qualsiasi sistema operativo.
    non+autenticato
  • - Scritto da: prova123
    > Se è possibile farlo con windows allora si può
    > fare con qualsiasi sistema
    > operativo.

    No.
    Windows ha una prerogativa esclusiva: cio' che rende eseguibile un file non sono dei permessi attribuiti manualmente (eventualmente mediante password di root) ma banalmente l'estensione del nome del file.

    Quindi se vuoi installarti un malware su linux che faccia danni al sistema intero devi:
    1) scaricarlo
    2) copiarlo sotto path
    3) attribuirgli i permessi di esecuzione
    4) eseguirlo con privilegi amministrativi

    Invece sotto winsozz devi:
    1) niente (fa tutto lui con la complicita' del browser e del sistema operativo)
  • - Scritto da: panda rossa
    > - Scritto da: prova123
    > > Se è possibile farlo con windows allora si
    > può
    > > fare con qualsiasi sistema
    > > operativo.
    >
    > No.
    > Windows ha una prerogativa esclusiva: cio' che
    > rende eseguibile un file non sono dei permessi
    > attribuiti manualmente (eventualmente mediante
    > password di root) ma banalmente l'estensione del
    > nome del
    > file.
    >
    > Quindi se vuoi installarti un malware su linux
    > che faccia danni al sistema intero
    > devi:
    > 1) scaricarlo
    > 2) copiarlo sotto path
    > 3) attribuirgli i permessi di esecuzione
    > 4) eseguirlo con privilegi amministrativi

    O farti aiutare da bash
    http://en.wikipedia.org/wiki/Shellshock_(software_...)
    From 1.03 of Bash released in September 1989
    Come li invecchiate bene i bachi su LinuxA bocca aperta
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: panda rossa
    > > - Scritto da: prova123
    > > > Se è possibile farlo con windows allora
    > si
    > > può
    > > > fare con qualsiasi sistema
    > > > operativo.
    > >
    > > No.
    > > Windows ha una prerogativa esclusiva: cio'
    > che
    > > rende eseguibile un file non sono dei
    > permessi
    > > attribuiti manualmente (eventualmente
    > mediante
    > > password di root) ma banalmente l'estensione
    > del
    > > nome del
    > > file.
    > >
    > > Quindi se vuoi installarti un malware su
    > linux
    > > che faccia danni al sistema intero
    > > devi:
    > > 1) scaricarlo
    > > 2) copiarlo sotto path
    > > 3) attribuirgli i permessi di esecuzione
    > > 4) eseguirlo con privilegi amministrativi
    >
    > O farti aiutare da bash
    > http://en.wikipedia.org/wiki/Shellshock_(software_
    > From 1.03 of Bash released in September 1989
    > Come li invecchiate bene i bachi su LinuxA bocca aperta

    Per completezza di informazione potresti mettere anche l'elenco di tutti i sistemi linux che sono stati vittime di ransomware a causa di Shellshock.

    Perche' e' di questo che si sta parlando.
  • - Scritto da: panda rossa
    > - Scritto da: Hop
    > > - Scritto da: panda rossa
    > > > - Scritto da: prova123
    > > > > Se è possibile farlo con windows
    > allora
    > > si
    > > > può
    > > > > fare con qualsiasi sistema
    > > > > operativo.
    > > >
    > > > No.
    > > > Windows ha una prerogativa esclusiva:
    > cio'
    > > che
    > > > rende eseguibile un file non sono dei
    > > permessi
    > > > attribuiti manualmente (eventualmente
    > > mediante
    > > > password di root) ma banalmente
    > l'estensione
    > > del
    > > > nome del
    > > > file.
    > > >
    > > > Quindi se vuoi installarti un malware su
    > > linux
    > > > che faccia danni al sistema intero
    > > > devi:
    > > > 1) scaricarlo
    > > > 2) copiarlo sotto path
    > > > 3) attribuirgli i permessi di esecuzione
    > > > 4) eseguirlo con privilegi
    > amministrativi
    > >
    > > O farti aiutare da bash
    > >
    > http://en.wikipedia.org/wiki/Shellshock_(software_
    > > From 1.03 of Bash released in September 1989
    > > Come li invecchiate bene i bachi su LinuxA bocca aperta
    >
    > Per completezza di informazione potresti mettere
    > anche l'elenco di tutti i sistemi linux che sono
    > stati vittime di ransomware a causa di
    > Shellshock.
    Uno ed è già il 50% dell'installatoA bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > In meno di 240 secondi potrebbe non essere mai
    > esistito. Alcuni di questi programmi da niubbi si
    > chiudono da Task Manager e poi si cancellano i
    > file, fatto su computer di chi non sa nulla di
    > informatica.

    OMG. Questi lamer moderni non li digerisco.
    non+autenticato
  • Come non darti ragione, i computer dei lamer con qualsiasi sistema operativo, sono sempre e comunque vulnerabili. Però grazie a loro campano tantissime persone che scrivono antimalware.
    non+autenticato