Il nuovo ransomware è il fantasma di Windows Update

Il malware è progettato per cifrare i file dell'utente e chiedere il riscatto per la decodifica, un processo che per l'occasione si nasconde dietro un falso messaggio di aggiornamento di Windows

Roma – Jakub Kroustek, analista di sicurezza in forze ad AVG, ha scoperto un nuovo ransomware progettato per sfruttare un infido meccanismo di camuffamento potenzialmente in grado di avere la meglio sugli utenti meno accorti. Il ransomware si chiama Fantom , e all’apparenza agisce per installare una patch critica per Windows attraverso l’apposito servizio di aggiornamento.

Fantom è in realtà un ransomware basato sul progetto open source EDA2, e utilizza tecniche di crittografia che ne fanno una minaccia molto pericolosa visto che, una volta infettato il sistema, non è possibile decifrare i file compromessi senza l’intervento degli ignoti cyber-criminali che gestiscono la minaccia.

Fantom si camuffa come un aggiornamento critico per Windows , e una volta avviato dall’utente il ransomware manda in esecuzione il malware propriamente detto (“WindowsUpdate.exe”) mostrando una schermata di installazione non dissimile da quella originale di Windows Update.

Ovviamente, dietro le quinte il ransomware è impegnato e cifrare i file presenti su disco, e il lavoro di ricerca appare piuttosto esaustivo visto che il malware è progettato per prendere di mira file di documenti, musica, video, archivi compressi e molti altri tipi di estensioni .

La cifratura dei file avviene attraverso una chiave asimmetrica AES-128, che viene a sua volta criptata con l’algoritmo RSA prima di essere inviata via Internet ai criminali; a quel punto ogni cartella sul disco fisso include una “nota di riscatto” in formato HTML, con tanto di istruzioni per contattare via email i responsabili e ricevere il necessario per decifrare i file.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Mimars scrive:
    Grazie per aver segnalato il problema..
    Spett.le Punto informatico.Finalmente un articolo che affronta con la dovuta attenzione una problematica che riguarda noi appartenenti alle Forze di Polizia. In particolare voglio segnalare che tale situazione riguarda in maniera molto più incisiva gli operatori della Polizia Postale e delle Comunicazioni, di cui faccio parte.. Come immagino sappiate la procura e il tribunale competenti in un procedimento penale sono quelli dove si è verificato il fatto illecito. Pertanto gli operatori delle volanti difficilmente si troveranno a dover testimoniare in tribunali diversi da quello della sede in cui operano e vivono, trattandosi di fatti accaduti quasi sempre in quel territorio.. Ma dove si radica la competenza a giudicare sui reati commessi tramite internet? Prendiamo uno dei casi più diffusi, ossia quello delle truffe perpetrate tramite la vendita di merce varia su internet.. Sapete che lorientamento prevalente è quello di radicare la competenza penale presso il tribunale del luogo ove risulta attivato il conto e/o carta prepagata su cui sono stati accreditati i proventi della truffa? Pertanto ad esempio un denunciante di Reggio Calabria che sporge denuncia nella sua città, avendo versato in una patita truffa del denaro su un conto aperto a Milano, sarà costretto a recarsi lì come teste e come eventuale parte civile in quanto persona offesa. Ovviamente oltre alla parte offesa spesso verrà convocato anche loperatore di polizia che ha svolto le indagini. Pertanto la parte offesa dovrà affrontare le spese di vitto ed alloggio in loco nonché parte delle spese di viaggio (molti tribunali rimborsano solo il biglietto ordinario di seconda classe, privo di supplementi come quello per lalta velocità). Tralasciamo lipotesi in cui il denunciante volesse nominare un difensore per il risarcimento del danno, con le connesse problematiche del caso.. Loperatore di Polizia, sebbene rimborsato integralmente, dovrà comunque anticipare le spese di viaggio ed aspettare spesso mesi per il rimborso da parte del Tribunale.. Tali situazioni sottraggono prezioso tempo lavorativo alloperatore di polizia (quindi allo stato ed alla società). Infatti nei giorni di viaggio lappartenente alle Forze di Polizia non può essere impiegato nel servizio ordinario.. Senza tralasciare la necessità di abbandonare ogni volta il nucleo familiare, che può aver bisogno.. Anche il denunciante citato come testimone spesso è danneggiato dal non poter esercitare la propria attività lavorativa, specialmente se libero professionista.. Si consideri inoltre la diffusione di tale tipologia di reati ed i rinvii che spesso avvengono durante le udienze. Talvolta si viene anche citati senza che ve ne sia vera necessità ( ad esempio la querela è stata rimossa ma il giudice non ne è ancora venuto a conoscenza). Stante quanto sopra è auspicabile, doveroso e necessario che i testimoni e le parti offese, identificati da Ufficiali di Polizia Giudiziaria, possano deporre presso aule tecnicamente attrezzate presso il tribunali delle zone in cui risiedono. Questo attuerebbe i principi di efficienza, efficacia ed economicità della Pubblica Amministrazione, oggi più che mai necessari ed importanti..Grazie ancora per aver affrontato questa problematica, che non riguarda solo gli operatori di Polizia ma anche tutti i cittadini vittime di reati, specialmente quelli perpetrati tramite internet..-----------------------------------------------------------Modificato dall' autore il 09 settembre 2016 23.42-----------------------------------------------------------
Chiudi i commenti