Il ransomware che cifra l'hard disk si diffonde nei documenti Word

Il pericolo è nelle macro.



[ZEUS News - www.zeusnews.it - 22-02-2016]

Ransomware Locky

Le vecchie tecniche spesso sono le migliori, anche quando si tratta di diffondere malware.

In questo caso stiamo parlando di come un ransomware recentemente scoperto e battezzato Locky si diffonda sotto forma di una macro per Microsoft Word.

Kevin Beaumont e Lawrence Abrams di Bleeping Computer hanno analizzato Locky scoprendone il comportamento e i danni che può causare.

Generalmente giunge alla sua vittima nascosto all'interno di un documento Word allegato a un'email che sostiene di essere una fattura da pagare. Se si apre il documento e le macro di Office sono attive, l'installazione del malware si avvia.

Difendersi tenendo le macro disattivate funziona soltanto se non si cade nella trappola predisposta dagli autori del malware proprio per contrastare questa evenienza: se il supporto alle macro non è attivo, infatti, il documento Word appare pieno di scritte incomprensibili (caratteri casuali, in buona sostanza), mentre un messaggio avvisa che è necessario «Attivare le macro se la codifica dei dati non è corretta».

Sondaggio
Un sito Internet richiede che la password sia più complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (3045 voti)
Leggi i commenti (12)

Così, nella speranza di riuscire a leggere il documento (che - ricordiamo - dovrebbe contenere una fattura per la quale è richiesto un pagamento) la vittima ignara potrebbe decidere di attivare le macro, mettendosi in tal modo il cappio al collo con le proprie mani.

A quel punto, infatti, lo script contenuto nel documento scarica il ransomware vero e proprio da un server web e lo salva nella cartella temporanea dell'utente attivo, per poi installarlo.

email message locky

Una volta attivato, esso effettua una scansione di tutti i drive (compresi quelli di rete) e crittografa i documenti, i file musicali, i file video, le immagini, gli archivi, i database e i file relativi alle applicazioni web.

Ogni file crittografato viene rinominato: avrà un nome composto da una serie di caratteri alfanumerici e l'estensione .locky.

word document

Alla fine, il malware crea in ogni cartella crittografata un file di testo dal nome _Locky_recover_instructions.txt, nel quale è indicato come effettuare il pagamento in seguito al quale sarà possibile sbloccare i file. Per buona misura, lo stesso messaggio contenuto nel file di testo viene impostato come sfondo del desktop.

Bleeping Computer ritiene che siano già centinaia i PC infetti in Europa, Russia, Stati Uniti, Pakistan e Mali, e che le vittime potenziali siano moltissime.

text ransom note

Le macro di Office sono infatti in uso da oltre vent'anni e spesso in ambito aziendale si adopera ancora del codice scritto negli anni '90: in questi casi, chiedere a tutti di disabilitare le macro non è possibile e chiedere agli utenti di firmare le proprie macro è un processo lungo che può richiedere dei mesi.

Il risultato è che se il software antimalware non è in grado di rilevare Locky basta un clic per cadere nella trappola dei ricattatori.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)

E' adeguato anche un backup incrementale - volendo anche in questo caso con selezione del numero di versioni da mantenere per ogni file - su HD esterno USB avendo l'accortezza di scollegarlo dopo ogni backup per evitare che, in caso di attacco possa essere criptato anch'esso.
28-2-2016 15:50

{Daniele}
Per dormire sonni tranquilli (almeno rispetto al ransomware) non basterebbe avere un servizio di cloud storage con versioning dei file? In caso di attacco dovrei poter recuperare la versione precedente dei files senza problemi. Giusto?
26-2-2016 11:24

Prego! ;) Ricordati di mantenere sempre disattivate le macro. Attivale solo quando apri documenti di sicura provenienza.
24-2-2016 21:15

bdoriano, grazie 1k per la reply :ok!:
24-2-2016 07:36

Le macro di LibreOffice e OpenOffice usano oggetti e metodi diversi rispetto a Microsoft Office. Leggi tutto
23-2-2016 23:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te è giusto che sia obbligatoria l'assicurazione per i conducenti di monopattini elettrici?
Sì, serve l'assicurazione obbligatoria perché i monopattini elettrici sono equiparabili per pericolosità agli scooter.
Sì, serve l'assicurazione obbligatoria sia per i monopattini elettrici, sia per le biciclette elettriche, perché entrambi i tipi di mezzo sono equiparabili agli scooter.
No, non serve l'assicurazione obbligatoria perché i monopattini elettrici sono equiparabili alle biciclette elettriche.

Mostra i risultati (980 voti)
Giugno 2024
Gli USA mettono al bando Kaspersky
Windows 11, l'ultimo aggiornamento è infestato da bug
Il viaggio verso Marte rischia di devastare i reni degli astronauti
2030, Mastercard elimina il numero della carta di credito.
HP, un BIOS difettoso rende inutilizzabili i ProBook
Adobe, utenti in rivolta contro i nuovi Termini d'Uso
Napster compie 25 anni
Tre libri
Maggio 2024
Chatbot, fallimenti a ripetizione
Imparare l'hacking
Il passaporto elettronico si farà alle Poste, anche nei comuni più grandi
Google infila la IA dappertutto
Il reddito universale di base secondo OpenAI
Windows 11 24H2 cripta tutti i drive all'insaputa dell'utente
L'app per snellire Windows 11 rimuove anche la pubblicità
Tutti gli Arretrati
Accadde oggi - 24 giugno


web metrics