Diventa Autore per CoreTech | Scopri di più
08/11/17 CoreTech News
L'ottobre del 2017 sarà ricordato non soltanto dagli specialisti di sicurezza informatica, ma anche da tutti gli utenti di Internet per la comparsa di un nuovo worm cryptolocker che ha ricevuto il nome di Trojan.BadRabbit. Questo trojan ha cominciato a diffondersi il 24 ottobre e ha attaccato computer principalmente nel territorio della Russia e dell'Ucraina.
Ad ottobre gli analisti dei virus Doctor Web hanno esaminato un backdoor scritto nel linguaggio Python. Questo programma malevolo è in grado di carpire informazioni dai browser popolari, di registrare le battiture sulla tastiera, di scaricare e salvare diversi file sul computer infetto e inoltre di svolgere una serie di altre funzioni malevole.
Inoltre, dagli specialisti è stata studiata una nuova versione di un trojan Linux capace di infettare diversi dispositivi "intelligenti".
Come i suoi predecessori, il malware Trojan.BadRabbit è un worm in grado di auto-propagazione senza intervento dell'utente ed è costituito da più componenti: un dropper, un cryptor e decryptor e del worm encoder stesso. Una parte del codice di questo worm proviene da Trojan.Encoder.12544 , anche conosciuto come NotPetya. Ad avvio l'encoder controlla la presenza del file C:\Windows\cscc.dat e se è disponibile, termina il suo funzionamento (per cui creando un file cscc.dat nella cartella C:\Windows si possono prevenire le conseguenze dannose dell'avvio del trojan).
Secondo alcuni ricercatori, la fonte di infezione da Trojan.BadRabbit è stata una serie di siti web compromessi nel cui codice HTML era stato integrato uno script JavaScript malevolo. L'encoder cripta i file con le estensioni .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Come risultato del funzionamento del trojan sullo schermo del computer infetto viene visualizzata una richiesta di pagare il riscatto nella criptovaluta Bitcoin, e sul sito dei malintenzionati nella TOR alla vittima vengono assegnate 48 ore per pagare, dopo cui l'importo del riscatto verrà aumentato.
Al momento lo studio di Trojan.BadRabbit continua, però Antivirus Dr.Web rileva e rimuove con successo questo programma malevolo. Inoltre, l'analisi ha dimostrato che il trojan verifica la presenza nel sistema degli antivirus Dr.Web e McAfee. Se rileva il nostro prodotto, Trojan.BadRabbit salta la fase di criptazione in modalità utente, però cerca di lanciare la completa criptazione del disco dopo il riavvio del sistema. Questa funzionalità del programma malevolo viene bloccata da Antivirus Dr.Web, dunque dalle attività del trojan non saranno colpiti gli utenti di Antivirus Dr.Web versione 9.1 e superiori e di Dr.Web KATANA, a condizione che non abbiano modificato le impostazioni della protezione preventiva e non l'abbiano disattivata.
Trojan.Exploit
JS.Inject.3
JS.Inject.3
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
Android.Locker
Ad ottobre al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker: