Il nuovo ransomware è il fantasma di Windows Update

Il nuovo ransomware è il fantasma di Windows Update

Il malware è progettato per cifrare i file dell'utente e chiedere il riscatto per la decodifica, un processo che per l'occasione si nasconde dietro un falso messaggio di aggiornamento di Windows
Il malware è progettato per cifrare i file dell'utente e chiedere il riscatto per la decodifica, un processo che per l'occasione si nasconde dietro un falso messaggio di aggiornamento di Windows

Jakub Kroustek, analista di sicurezza in forze ad AVG, ha scoperto un nuovo ransomware progettato per sfruttare un infido meccanismo di camuffamento potenzialmente in grado di avere la meglio sugli utenti meno accorti. Il ransomware si chiama Fantom , e all’apparenza agisce per installare una patch critica per Windows attraverso l’apposito servizio di aggiornamento.

Fantom è in realtà un ransomware basato sul progetto open source EDA2, e utilizza tecniche di crittografia che ne fanno una minaccia molto pericolosa visto che, una volta infettato il sistema, non è possibile decifrare i file compromessi senza l’intervento degli ignoti cyber-criminali che gestiscono la minaccia.

Fantom si camuffa come un aggiornamento critico per Windows , e una volta avviato dall’utente il ransomware manda in esecuzione il malware propriamente detto (“WindowsUpdate.exe”) mostrando una schermata di installazione non dissimile da quella originale di Windows Update.

Ovviamente, dietro le quinte il ransomware è impegnato e cifrare i file presenti su disco, e il lavoro di ricerca appare piuttosto esaustivo visto che il malware è progettato per prendere di mira file di documenti, musica, video, archivi compressi e molti altri tipi di estensioni .

La cifratura dei file avviene attraverso una chiave asimmetrica AES-128, che viene a sua volta criptata con l’algoritmo RSA prima di essere inviata via Internet ai criminali; a quel punto ogni cartella sul disco fisso include una “nota di riscatto” in formato HTML, con tanto di istruzioni per contattare via email i responsabili e ricevere il necessario per decifrare i file.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 30 ago 2016
Link copiato negli appunti