Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un cartello messicano ha spiato l’FBI hackerando i suoi dispositivi
- IconAds: quando le app fantasma diventano portali pubblicitari
- Ransomware e conflitti d’interesse: ex negoziatore sotto inchiesta per presunti legami con i cybercriminali
- In aumento i cyberattacchi dall’Iran: l’allarme delle agenzie di sicurezza americane
- Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
Il ransomware Exotic cripta anche i file EXE
Il malware colpisce tutti i file contenuti nelle cartelle colpite, senza risparmiare i file eseguibili. Individuate tre varianti nel giro di pochi giorni.
Se ci fosse una classifica per i ransomware più aggressivi, Exotic si piazzerebbe di sicuro ai primi posti. Il malware, individuato per la prima volta il 12 ottobre, utilizza una serie di tecniche che lo rendono particolarmente distruttivo.
Lo schema è sempre il solito: una volta avviato, il ransomware individua tutti i file memorizzati sul disco selezionandoli in base all’estensione e ne avvia la cifratura.
Proprio la scelta delle estensioni è ciò che rende particolarmente fastidioso Exotic: a differenza di molti “colleghi”, però, il malware non risparmia i file eseguibili (di solito esclusi) che si trovano nelle cartelle colpite, che di conseguenza vengono crittografati e resi inutilizzabili.
Per fortuna Exotic limita la sua azione ad alcune cartelle specifiche, tutte contenute all’interno della cartella utente, e non colpisce altri percorsi come la cartella Programmi. Tra le cartelle colpite, però, c’è anche il Desktop. Eventuali eseguibili conservati al suo interno, quindi, verrebbero crittografati.
Exotic visualizza una richiesta di riscatto piuttosto modesta (50 dollari in bitcoin) per riottenere i file. Come sempre, però, è bene tenere presente che non c’è nessuna garanzia che i pirati rispettino la parola data.
La richiesta, nelle prime versioni, veniva visualizzata con uno sfondo che ritraeva Hitler in diverse pose. La terza variante del ransomware rilevata, invece, usa uno strumento di pressione copiato da un altro malware simile: Jigsaw.
Il ransomware, infatti, avvisa la vittima che, in caso di mancato pagamento del riscatto entro 72 ore, tutti i file crittografati verranno eliminati. Nel frattempo, però, il malware cancellerà dei file a caso ogni 5 ore.
Le prime versioni di Exotic visualizzavano la richiesta di riscatto con uno sfondo che ritraeva Adolf Hitler.
Oltre a cifrarne il contenuto, Exotic modifica il nome dei file al momento della cifratura, modificandone anche l’estensione. Un file test.jpg, per esempio, diventerebbe qualcosa tipo 87as.exotic.
Uno stratagemma che rende più difficile (se non impossibile) individuare i file originali e ostacola così le eventuali operazioni di decodifica.
Mentre esegue le operazioni di cifratura, il ransomware controlla i processi in esecuzione sul computer confrontandoli con una lista di “indesiderati”. L’elenco comprende taskmgr; cmd; procexp; procexp64; regedit; CCleaner64 e msconfig. Se ne individua uno, lo termina senza troppi complimenti.
Una copia del malware viene anche copiata in %Utente%\AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Esecuzione Automatica\svchost.exe. Trovandosi nella cartella utente, però, il file viene crittografato a sua volta, ed è quindi innocuo.
Stando a quanto riportato dai ricercatori che hanno analizzato il malware, Exotic sarebbe ancora in una fase di “sviluppo” ed è improbabile che sia già in circolazione. Magra consolazione…
Condividi l'articolo
Intel Security annuncia i nuovi prodotti McAfee 2017
Facebook: in 5 anni più di 5 milioni ai cacciatori di bug
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un cartello messicano ha spiato l’FBI hackerando i... Il Sinaloa, un cartello messicano, è riuscito ad... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
-
Ransomware e conflitti d’interesse: ex negoziatore sotto... Secondo quanto riportato da un articolo di Bloomberg, un... -
In aumento i cyberattacchi dall’Iran: l’allarme... In un documento congiunto rilasciato ieri, la CISA,... -
Una vulnerabilità di Open VSX Registry mette in pericolo... I ricercatori di Koi Security hanno individuato una...
Ransomware: la serie
No posts found.