Set 14

Lo sviluppatore Fabian Wosar ha pubblicato un decryptor per recuperare i file criptati dal ransomware Philadelpia che cifra i file e chiede un riscatto in bitcoin, scritto dallo stesso autore del cryptovirus Stampado e venduto sul black market Alphabay nel dark web. Così come Stampado, anche il trojan Philadelpia è scritto in linguaggio AutoIT, cifra il contenuto dei file tramite algoritmo AES 256 e il nome dei file tramite algoritmo RC4, modificando i nomi del file aggiungendo l’estensione “.LOCKED”. Fabian Wosar ha annunciato su twitter la pubblicazione del tool per decifrare gratuitamente i documenti criptati dal ransomware Philadelpia, aggiungendo che “alla fine Philadelpia non è poi così innovativo”.

Per utilizzare il decryptor di Fabian Wosar per il ransomware Philadelpia, è necessario reperire un file non criptato corrispondente a uno di quelli con estensione “.LOCKED” criptati dal cryptovirus. Dato che anche il nome del file viene criptato dal ransomware, non è facile capire quale file criptato corrisponda a quello in chiaro, ci si può quindi basare sulla dimensione dei file. Se riuscite a recuperare – tramite backup, allegati email, altri PC, etc… – un file non criptato, cercatene uno della stessa esatta dimensione tra quelli cifrati con estensione “LOCKED”. Attenzione perché il ransomware Philadelpia non chiede cifre considerevoli (0.3 bitcoin) ma se si ritarda con il pagamento (o con l’utilizzo dell’antiransomware di Fabian Wosar) il trojan comincia a cancellare file dal PC, che diventeranno quindi irrecuperabili anche se utilizzate il decryptor. Il decryptor sviluppato dal ricercatore Fabian Wosar è disponibile gratuitamente a questo link.

Da ramsomware-blog

Nov 21

Nell’era dei ransomware si rischia fortemente di perdere di vista le altre tipologie di malware, questo perché i primi colpiscono direttamente e in maniera palese gli utenti prendendone in ostaggio le risorse e richiedendo un riscatto alle vittime. Questo comportamento è alla base del clamore e della preoccupazione suscitati da malware come il Cryptolocker che spinge l’opinione pubblica a considerali come l’unica minaccia attuale, ma non è assolutamente così. Negli ultimi anni il numero delle infezioni da ransomware è cresciuto esponenzialmente, ma rimane molto inferiore a quello di malware tecnologicamente più sofisticati come gli spyware, che da anni contribuiscono ad aumentare i profitti derivanti dal furto dei dati e delle proprietà intellettuali. Prendendo anche in esame il giro d’affari di queste due tipologie di minaccia informatica, i numeri rimangono palesemente a favore degli spyware che producono un indotto globale di miliardi di dollari contro le poche decine dei ransomware.

Lug 21

Ranscam, conosciuto anche come CryptoFinancial, è una nuova variante di ransomware molto subdola e pericolosa che tenta di ingannare la vittima e spingerla a pagare il riscatto minacciando la cancellazione di un file ad ogni mancata verifica del pagamento. Questo malware avvisa l’utente che tutti i suoi file sono stati cifrati e spostati su una partizione nascosta del disco e che per riaverli indietro “all’istante” è sufficiente pagare 0,2 bitcoin (circa 120€) all’indirizzo indicato nella nota di riscatto (vedi Figura 1). In realtà si tratta di una vera e propria truffa in Inglese “scam”, da cui il nome Ranscam), in quanto i file sono già stati completamente cancellati dal disco e non possono essere in alcun modo recuperati. Semplicemente, non vi è all’interno del malware alcuna funzionalità di recupero dei file.Oltre alla cancellazione dei file, Ranscam effettua le seguenti azioni distruttive:

Nov 09

Quante volte nel nostro lavoro, contattando piccoli uffici - negozi o liberi professionisti, ci siamo sentiti dire "cosa vuoi che stia a proteggere i miei dati che tanto non interessano a nessuno... mi costa di piu' la protezione! Se mi hackerano o se prendo un virus riformatto e via...." Salvo poi rimpiangere di non avere un backup affidabile quando ti cade il portatile (magari in acqua) - ti muore il disco fisso o ti capita un cryptolocker, e anche se hai una piccola attività quanto ti costa recuperare i dati per te piu' importanti? Partiamo anche dalla considerazione che la tua attività (per quanto piccola) è di interesse per i dispensatori di virus (il loro rischio è nullo e il ritorno da un investimento minimo è immenso). Infatti ora si trovano sul web programmi ramsomware a 39$.

Una nuova e sorprendentemente a buon mercato ransomware definito come Stampado è stato recentemente scoperto di essere venduto nel DARK WEB per $ 39 per tutta la vita licenza una frazione del prezzo di altri ransomware offerti sul mercato ransomware-as-a-service (RaaS). Stampado ransomware reca una serie di somiglianze con cryptolocker in termini di funzionalità. Cryptolocker (rilevato da Trend Micro comeRANSOM_CRILOCK / CRYPLOCK ), è stato scoperto nel 2013.

Lug 20

I ricercatori hanno scoperto un nuovo ceppo di ransomware che utilizza Google Docs per evitare il rilevamento.
Il modulo - soprannominato 'cuteRansomware' - è stato trovato dalla società di sicurezza cloud Netskope.
Sembra essere una variante cinese del pacchetto 'My-Little-ransomware', che è stato pubblicato su GitHub qualche mese fa.
La maggior parte del codice sorgente rimane invariato dal campione ransomware originale, a parte alcune modifiche di rilievo.
In primo luogo, l'elenco delle estensioni di file ricercato e crittografato da cuteRansomware era molto più piccola
del malware originale, compreso .bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py,. cpp, .pcap, .enc, .pem e file .csr
Ancora più importante, tuttavia, una volta infettato, il ransomware modificato utilizzato un modulo di Google Docs
per inviare l'attaccante nome del computer della vittima e le chiavi di crittografia RSA utilizzati per la crittografia loro file.

Nov 09

Un ceppo ramsomware ha colpito La scorsa settimana (primi di Luglio 2016) la Clinica Asthma in Colorado.

A seguito di segnalazioni di difficoltà di accesso ai file del computer e documenti, il reparto IT dello stabilimento ha chiuso i server temendo un attacco di virus sulla loro rete, e cio' ha portato alla scoperta di prove di ransomware sui sistemi il 16 maggio 2016. Rappresentante AAIR Kari Hershey rileva che, mentre ulteriori dettagli dell'infezione sono stati scoperti da parte del personale IT della clinica, ciò che è stato visto era una bozza di richiesta di riscatto. Come tale, le azioni Hershey in una dichiarazione , "Il modo in cui è stato spiegato a me è che essenzialmente sembrava che gli hacker erano ancora testando il ransomware". Mentre gli analisti sono ancora incerti della specifica famiglia ransomware coinvolti, si è affermato che l'infezione non comporta Locky o Samsam , che erano tra i ceppi ransomware che hanno preso di mira le organizzazioni sanitarie di ritardo. Come il malware è entrato nel loro sistema rimane sconosciuto. Hershey osserva che ciò che è chiaro è che l'infezione è riuscito a "passare attraverso un firewall protetto da password". Secondo gli analisti, questo potrebbe essere un drive-by download che ha avuto luogo dopo che un dipendente è stato spinto a visitare un sito web avvelenato.

Subscribe to our mailing list

* indicates required

(C) 2015 Monev Software LLC / JoomlaXTC.

Bakappa.it è una soluzione Pinet Internetworking http://www.pinet.it





Ns. dati contabili e fiscali: Pinet di Finesso Giancarlo - Via emilio Faa' di Bruno 69 - 15121 Alessandria - Tel 0131263767 - P.I. 01166420065 - CF FNSGCR52P02A182Y