Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Il ransomware Exotic cripta anche i file EXE
Il malware colpisce tutti i file contenuti nelle cartelle colpite, senza risparmiare i file eseguibili. Individuate tre varianti nel giro di pochi giorni.
Se ci fosse una classifica per i ransomware più aggressivi, Exotic si piazzerebbe di sicuro ai primi posti. Il malware, individuato per la prima volta il 12 ottobre, utilizza una serie di tecniche che lo rendono particolarmente distruttivo.
Lo schema è sempre il solito: una volta avviato, il ransomware individua tutti i file memorizzati sul disco selezionandoli in base all’estensione e ne avvia la cifratura.
Proprio la scelta delle estensioni è ciò che rende particolarmente fastidioso Exotic: a differenza di molti “colleghi”, però, il malware non risparmia i file eseguibili (di solito esclusi) che si trovano nelle cartelle colpite, che di conseguenza vengono crittografati e resi inutilizzabili.
Per fortuna Exotic limita la sua azione ad alcune cartelle specifiche, tutte contenute all’interno della cartella utente, e non colpisce altri percorsi come la cartella Programmi. Tra le cartelle colpite, però, c’è anche il Desktop. Eventuali eseguibili conservati al suo interno, quindi, verrebbero crittografati.
Exotic visualizza una richiesta di riscatto piuttosto modesta (50 dollari in bitcoin) per riottenere i file. Come sempre, però, è bene tenere presente che non c’è nessuna garanzia che i pirati rispettino la parola data.
La richiesta, nelle prime versioni, veniva visualizzata con uno sfondo che ritraeva Hitler in diverse pose. La terza variante del ransomware rilevata, invece, usa uno strumento di pressione copiato da un altro malware simile: Jigsaw.
Il ransomware, infatti, avvisa la vittima che, in caso di mancato pagamento del riscatto entro 72 ore, tutti i file crittografati verranno eliminati. Nel frattempo, però, il malware cancellerà dei file a caso ogni 5 ore.
Le prime versioni di Exotic visualizzavano la richiesta di riscatto con uno sfondo che ritraeva Adolf Hitler.
Oltre a cifrarne il contenuto, Exotic modifica il nome dei file al momento della cifratura, modificandone anche l’estensione. Un file test.jpg, per esempio, diventerebbe qualcosa tipo 87as.exotic.
Uno stratagemma che rende più difficile (se non impossibile) individuare i file originali e ostacola così le eventuali operazioni di decodifica.
Mentre esegue le operazioni di cifratura, il ransomware controlla i processi in esecuzione sul computer confrontandoli con una lista di “indesiderati”. L’elenco comprende taskmgr; cmd; procexp; procexp64; regedit; CCleaner64 e msconfig. Se ne individua uno, lo termina senza troppi complimenti.
Una copia del malware viene anche copiata in %Utente%\AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Esecuzione Automatica\svchost.exe. Trovandosi nella cartella utente, però, il file viene crittografato a sua volta, ed è quindi innocuo.
Stando a quanto riportato dai ricercatori che hanno analizzato il malware, Exotic sarebbe ancora in una fase di “sviluppo” ed è improbabile che sia già in circolazione. Magra consolazione…
Condividi l'articolo
Intel Security annuncia i nuovi prodotti McAfee 2017
Facebook: in 5 anni più di 5 milioni ai cacciatori di bug
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
