Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
Ago 24, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Sempre più diffusi, sempre più insidiosi. Dopo aver sfruttato una certa impreparazione da parte dei software di sicurezza a fronteggiare questa ondata di attacchi, gli autori di ransomware si stanno ora concentrando sulle tecniche per aggirare i sistemi di rilevamento introdotti negli antivirus.
L’ultimo arrivato nel settore si chiama SyncCrypt e utilizza una tecnica di diffusione che gli consente di sfuggire al controllo dei prodotti di sicurezza sfruttando un semplice stratagemma che lo rende praticamente invisibile alle scansioni antivirus.
Come riporta Emsisoft, il vettore iniziale dell’infezione è rappresentato da un file WSF (Windows Script File) che viene diffuso via email attraverso una tecnica di ingegneria sociale piuttosto comune.
il messaggio sembra infatti contenere un provvedimento di un tribunale (il nome del file è CourtOrder_845493809.wsf) e ha quindi buone probabilità di essere aperto soprattutto nelle aziende, in cui una comunicazione del genere rischia di suscitare il classico effetto di “panico” che porta all’apertura di allegati potenzialmente pericolosi sulla scia di una reazione emotiva.
Il file WSF, naturalmente, non è un documento di testo ma contiene un Javascript che avvia il download e l’esecuzione del codice del malware vero e proprio.
Quest’ultimo è nascosto all’interno di un archivio in formato ZIP a sua volta inserito all’interno di un’immagine in formato JPEG tratta dalla copertina dell’album And They Have Escaped the Weight of Darkness del musicista islandese Ólafur Arnalds.
Il jpeg usato per nascondere il codice del malware è tratto dalla copertina di un disco di Ólafur Arnalds. Difficile, però, che la scelta possa rappresentare un indizio sulla nazionalità dei pirati informatici.
Un sistema di scatole cinesi che, come spiegano i ricercatori, permette al ransomware di sfuggire all’analisi dell’antivirus.
Stando a quanto riportato da Lawrence Abrams di Bleeping Computer, che ha avviato una scansione su Virus Total di un campione di SyncCrypt, su 58 antivirus solo uno (Dr.Web) lo avrebbe rilevato come pericoloso.
Una volta estratto e avviato, SyncCrypt si installa sul computer agisce come un classico cripto-virus avviando la codifica di tutti i file presenti sul disco fisso a eccezione di alcune cartelle:
windows\
program files (x86)\
program files\
programdata\
winnt\
\system volume information\
\desktop\readme\
\$recycle.bin\:
Il resto risponde al classico copione a cui siamo abituati: il ransomware modifica lo sfondo del desktop visualizzando una richiesta di riscatto per un ammontare che probabilmente varia a seconda della quantità di dati presi in ostaggio.
La vittima dovrebbe effettuare il pagamento all’indirizzo specificato all’interno del file AMMOUNT.txt e poi inviare la conferma di pagamento a un indirizzo di posta elettronica a scelta tra tre forniti dai pirati informatici per ottenere lo strumento di decodifica e riottenere l’accesso ai file. Per il momento non è disponibile alcuno strumento per decodificare i file crittografati da SyncCrypt.
Set 11, 2025 0
Set 09, 2025 0
Set 01, 2025 0
Ago 07, 2025 0
Set 18, 2025 0
Set 17, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 18, 2025 0
A un anno dall’annuncio della partnership, Cohesity e...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...