I ricercatori di BlackBerry hanno seguito la diffusione di ARCrypter, fin dalla prima comparsa avvenuta a fine agosto, scoprendo che il ransomware ha iniziato ad estendere il suo raggio d’azione in tutto il mondo. Dato che aumentano le probabilità degli attacchi è fortemente consigliata l’installazione di una soluzione di sicurezza che può rilevare e bloccare questa pericolosa minaccia.
ARCrypter: attacchi ransomware in tutto il mondo
I primi attacchi con ARCrypter sono stati effettuati contro un’agenzia governativa del Cile a fine agosto e contro il National Food and Drug Surveillance Institute in Colombia all’inizio di ottobre. Gli esperti di BlackBerry hanno individuato tracce del ransomware anche in Cina e Canada, quindi i cybercriminali hanno iniziato ad estendere il raggio d’azione per colpire più utenti e incrementare i profitti illeciti.
Al momento non è noto il vettore di attacco, ma i ricercatori hanno scoperto che il malware viene distribuito tramite AnonFiles. All’interno di un archivio ZIP è presente l’eseguibile “win.exe
“, un dropper che crea una directory sul computer in cui viene scaricato il ransomware. Stranamente, il file di testo con le istruzioni da seguire per pagare il riscatto viene mostrato prima di avviare la cifratura dei file.
Il malware aggiunge una chiave al registro di Windows per mantenere la persistenza e cancella tutte le copie shadow dei volumi per impedire il ripristino dai backup. I file cifrati hanno l’estensione .crypt
e nella colonna “Ultima modifica” viene inserito il messaggio “ALL YOUR FILES HAS BEEN ENCRYPTED“.