Alfonso Maruccia

Il nuovo ransomware è il fantasma di Windows Update

Il malware è progettato per cifrare i file dell'utente e chiedere il riscatto per la decodifica, un processo che per l'occasione si nasconde dietro un falso messaggio di aggiornamento di Windows

Roma - Jakub Kroustek, analista di sicurezza in forze ad AVG, ha scoperto un nuovo ransomware progettato per sfruttare un infido meccanismo di camuffamento potenzialmente in grado di avere la meglio sugli utenti meno accorti. Il ransomware si chiama Fantom, e all'apparenza agisce per installare una patch critica per Windows attraverso l'apposito servizio di aggiornamento.

Fantom è in realtà un ransomware basato sul progetto open source EDA2, e utilizza tecniche di crittografia che ne fanno una minaccia molto pericolosa visto che, una volta infettato il sistema, non è possibile decifrare i file compromessi senza l'intervento degli ignoti cyber-criminali che gestiscono la minaccia.



Fantom si camuffa come un aggiornamento critico per Windows, e una volta avviato dall'utente il ransomware manda in esecuzione il malware propriamente detto ("WindowsUpdate.exe") mostrando una schermata di installazione non dissimile da quella originale di Windows Update.
Ovviamente, dietro le quinte il ransomware è impegnato e cifrare i file presenti su disco, e il lavoro di ricerca appare piuttosto esaustivo visto che il malware è progettato per prendere di mira file di documenti, musica, video, archivi compressi e molti altri tipi di estensioni.

La cifratura dei file avviene attraverso una chiave asimmetrica AES-128, che viene a sua volta criptata con l'algoritmo RSA prima di essere inviata via Internet ai criminali; a quel punto ogni cartella sul disco fisso include una "nota di riscatto" in formato HTML, con tanto di istruzioni per contattare via email i responsabili e ricevere il necessario per decifrare i file.

Alfonso Maruccia
Notizie collegate
  • AttualitàRansomware mangia ransomwareIl bundle Mischa/Petya manda al tappeto il rivale Chimera, svelandone le chiavi crittografiche, e si prepara a lanciare il suo programma affiliati cybercriminale
  • SicurezzaTermostati intelligenti vittime di ransomwarePer richiamare l'attenzione sulla scarsa sicurezza nel campo dell'Internet of Things, ricercatori agiscono un termostato intelligente e ne prendendo il controllo. Un riscatto per ristabilire la temperatura
77 Commenti alla Notizia Il nuovo ransomware è il fantasma di Windows Update
Ordina
  • Solo per precisione, l'algoritmo AES utilizza una chiave SIMMETRICA...
    non+autenticato
  • Non avevo visto che qualcuno l'aveva già fatto notareA bocca aperta
    - Scritto da: BoH
    > Solo per precisione, l'algoritmo AES utilizza una
    > chiave
    > SIMMETRICA...
    non+autenticato
  • meno male ,non ci dormivo 'sta notte!
    user_
    1090
  • Ma ci sono tutorial e guide che permettono di alleggerire Windows 10 rendendolo simile al Win7 starter che davano con i netbook con Atom?

    Si può togliere tutto il bloatware e renderlo una semplice piattaforma per i programmi più usati per la produttività personale, eliminando Cortana e tutta la merda inutile e deleteria per la privacy?
    iRoby
    9691
  • - Scritto da: iRoby
    > Ma ci sono tutorial e guide che permettono di
    > alleggerire Windows 10 rendendolo simile al Win7
    > starter che davano con i netbook con
    > Atom?
    >
    > Si può togliere tutto il bloatware e renderlo una
    > semplice piattaforma per i programmi più usati
    > per la produttività personale, eliminando Cortana
    > e tutta la merda inutile e deleteria per la
    > privacy?

    No...no....no!! Anche se ci sono sono illusioni momentanee, l' update dopo tutto torna come era prima.
    non+autenticato
  • - Scritto da: iRoby
    > Ma ci sono tutorial e guide che permettono di
    > alleggerire Windows 10 rendendolo simile al Win7
    > starter che davano con i netbook con
    > Atom?

    Basterebbe togliere tutto il software di telecontrollo e di lock-in verso il cloud.
    Ma a quel punto resti con win 7.

    > Si può togliere tutto il bloatware e renderlo una
    > semplice piattaforma per i programmi più usati
    > per la produttività personale, eliminando Cortana
    > e tutta la merda inutile e deleteria per la
    > privacy?

    Dopo tutto quello che hanno fatto e speso per convincerti a migrare a winx?
    Ma ti pare?
  • - Scritto da: panda rossa
    > - Scritto da: iRoby
    > > Ma ci sono tutorial e guide che permettono di
    > > alleggerire Windows 10 rendendolo simile al
    > Win7
    > > starter che davano con i netbook con
    > > Atom?
    >
    > Basterebbe togliere tutto il software di
    > telecontrollo e di lock-in verso il
    > cloud.
    > Ma a quel punto resti con win 7.

    E ti trovi comunque con un sistema installato che occupa una 10ina di GB. "Vuoto".
    Shiba
    4103
  • Credo che questa nuova funzione dei browser di mostrare notifiche dei siti fuori dal browser nel sistema operativo sia una funzione che aiuta molto il malware a sembrare lecito.

    Molta gente crede a ciò che dicono i siti e gli avvisi e li segue senza capire il danno che potrebbe fare.

    la funzione la devi abilitare sito per sito, ma per l'utonto è giusto un click in più convinto di avere una cosa utile.
    iRoby
    9691
  • - Scritto da: iRoby
    > Credo che questa nuova funzione dei browser di
    > mostrare notifiche dei siti fuori dal browser nel
    > sistema operativo sia una funzione che aiuta
    > molto il malware a sembrare
    > lecito.

    Ma cosa c'entra sta cosa con l'articolo? Dove sta scritto che c'è una notifica del browser fuori dal browser?

    Semplicemente l'infezione funziona come è sempre stato, ossia pagina con script malevolo che ti scarica mil file e lo manda in esecuzione.
    Quello poi va in esecuzione e fa "finta" di essere Windows Update, prende le sue sembianze visive.


    >
    > Molta gente crede a ciò che dicono i siti e gli
    > avvisi e li segue senza capire il danno che
    > potrebbe
    > fare.
    >
    > la funzione la devi abilitare sito per sito, ma
    > per l'utonto è giusto un click in più convinto di
    > avere una cosa
    > utile.
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: iRoby
    > > Credo che questa nuova funzione dei browser
    > di
    > > mostrare notifiche dei siti fuori dal
    > browser
    > nel
    > > sistema operativo sia una funzione che aiuta
    > > molto il malware a sembrare
    > > lecito.
    >
    > Ma cosa c'entra sta cosa con l'articolo? Dove sta
    > scritto che c'è una notifica del browser fuori
    > dal browser?
    >
    >
    > Semplicemente l'infezione funziona come è sempre
    > stato, ossia pagina con script malevolo che ti
    > scarica mil file e lo manda in esecuzione

    Allora il browser è bucato. Non crederai mica che sia normale che uno visiti una pagina web e il browser gli scarichi automaticamente un file e lo esegua pure, vero?
    non+autenticato
  • - Scritto da: Mix
    > Allora il browser è bucato. Non crederai mica che
    > sia normale che uno visiti una pagina web e il
    > browser gli scarichi automaticamente un file e lo
    > esegua pure,
    > vero?

    E perché, non ti risulta che escano fix di sicurezza/nuove release dei browser a causa di exploit?
    Il problema non è quello, perché se stai ad aspettare che tutti i software che girano sul sistema siano perfetti e senza bug non hai ben chiaro un fatto ineluttabile: non esistono software bug free.
    Il problema è che un utente NON deve avere diritti amministrativi e NON deve poter eseguire un programma in cartelle fuori da quelle di default, sulle quali uno user NON ha autorizzazione alla modifica.
    non+autenticato
  • la tua leggendaria capacità di andare OT si è di nuovo manifestata. comunque per passare il malware all'utente non servono le notifiche basta dirgli di scaricare il file "belen_in_topless.avi.exe"
    non+autenticato
  • Per quel tipo di utente le estensioni non hanno significato, visto che win le nasconde di default da una vita. Anzi, potrebbero ironicamente farlo insospettire, dato che non sa cosa vogliano dire.
    Nah, meglio lasciare semplicemente: "per belen tutta nuda, clicca/tappa qui!" - Si va più sul sicuro. Occhiolino
    non+autenticato
  • Interessante il risultato della scansione. Per Avast, Comodo, NOD32, Kaspersky e l'antivirus di Microsoft è tutto ok! Installa pure tranquillo! Invece AVG, Avira, McAfee e il caro vecchio Norton lo hanno braccato subito. Comunque come disse una volta Justin Bieber, love yourself e passa a Linux.
    non+autenticato
  • - Scritto da: Gordon Ransomware
    > Interessante il risultato della scansione. Per
    > Avast, Comodo, NOD32, Kaspersky e l'antivirus di
    > Microsoft è tutto ok! Installa pure tranquillo!
    > Invece AVG, Avira, McAfee e il caro vecchio
    > Norton lo hanno braccato subito. Comunque come
    > disse una volta Justin Bieber, love yourself e
    > passa a
    > Linux.

    ... perché lì non c'è nulla da infettare.
    Al massimo ti cancellerà le ultime cazzate pro-Linull scritte su qualche forum. A bocca aperta
    non+autenticato
  • togli linux e sparirebbero quasi tutti i siti, i router, le lavatrici, le smarttv, e il 90% degli smartphone. si, hai proprio ragione, su linux non c'è nulla da infettare, perchè è poco diffuso.

    Rotola dal ridere
    non+autenticato
  • - Scritto da: il tacchino
    > togli linux e sparirebbero quasi tutti i siti, i
    > router, le lavatrici, le smarttv, e il 90% degli
    > smartphone. si, hai proprio ragione, su linux non
    > c'è nulla da infettare, perchè è poco
    > diffuso.
    >
    > Rotola dal ridere

    Non ho detto che è poco diffuso.
    I dispositivi che hai citato sono tendenzialmente chiusi o molto protetti; e non su computer. Qui non si tratta poi di diffusione, ma di base.
    non+autenticato
  • ti sei risposto da solo. sono "protetti" perchè è una caratteristica di linux, che garantisce una sicurezza nettamente superiore a windows. certo i ransomware possono girare anche su linux e osx, ma su windows trovano un terreno molto più fertile.
    non+autenticato
  • - Scritto da: il tacchino
    > ti sei risposto da solo. sono "protetti" perchè è
    > una caratteristica di linux, che garantisce una
    > sicurezza nettamente superiore a windows. certo i
    > ransomware possono girare anche su linux e osx,
    > ma su windows trovano un terreno molto più
    > fertile.

    Bella sicurezza!!: le TV che ti spiano e gli smartphone che funzionano alla grande. Belli i programmini che continuano a riavviarsi e che fanno aumentare la temperatura della CPU.
    Tutti con origine Linull ?
    Sparirebbe anche il sito della MS?
    non+autenticato
  • - Scritto da: iotin
    > Bella sicurezza!!: le TV che ti spiano e gli
    > smartphone che funzionano alla grande.
    sono processi che girano, inseriti dal produttore, non c'entrano con linux, che è solo il kernel.

    > Belli i
    > programmini che continuano a riavviarsi e che
    > fanno aumentare la temperatura della
    > CPU.
    stai parlando di svchost.exe?

    > Tutti con origine Linull ?
    > Sparirebbe anche il sito della MS?
    si. http://www.wired.com/2015/09/microsoft-using-linux.../
    non+autenticato
  • - Scritto da: il tacchino
    > > Tutti con origine Linull ?
    > > Sparirebbe anche il sito della MS?
    > si.
    > http://www.wired.com/2015/09/microsoft-using-linux

    ah ecco spiegato perchè Azure è l'unica cosa MS che funziona bene.
    non+autenticato
  • - Scritto da: il tacchino
    > - Scritto da: iotin
    > > Bella sicurezza!!: le TV che ti spiano e gli
    > > smartphone che funzionano alla grande.
    > sono processi che girano, inseriti dal
    > produttore, non c'entrano con linux, che è solo
    > il
    > kernel.
    >
    > > Belli i
    > > programmini che continuano a riavviarsi e che
    > > fanno aumentare la temperatura della
    > > CPU.
    > stai parlando di svchost.exe?
    >
    > > Tutti con origine Linull ?
    > > Sparirebbe anche il sito della MS?
    > si.
    > http://www.wired.com/2015/09/microsoft-using-linux

    Io leggo un "to run some of its own operation".
    Sempre precisi voi, eh !!!
    non+autenticato
  • - Scritto da: iotin


    > Sempre precisi voi, eh !!!

    ma dai, sono quelli che quando c'è da discutere della diffusione di Linux allora Android è basato su Linux, mentre quando c'è da discutere la sicurezza allora Andorid non ha nulla a che fare con Linux Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    stai anche a discutere con sti cosi?
    non+autenticato
  • - Scritto da: punto non informatic o

    > stai anche a discutere con sti cosi?
    Sempre in coppia voi due vero?
    A bocca aperta
    non+autenticato
  • AES non è asimmetrico.
    non+autenticato
  • AES non è neanche una chiave di crittografia, bensì un algoritmo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)