Il ransomware che cifra l'hard disk si diffonde nei documenti Word

Il pericolo è nelle macro.



[ZEUS News - www.zeusnews.it - 22-02-2016]

Ransomware Locky

Le vecchie tecniche spesso sono le migliori, anche quando si tratta di diffondere malware.

In questo caso stiamo parlando di come un ransomware recentemente scoperto e battezzato Locky si diffonda sotto forma di una macro per Microsoft Word.

Kevin Beaumont e Lawrence Abrams di Bleeping Computer hanno analizzato Locky scoprendone il comportamento e i danni che può causare.

Generalmente giunge alla sua vittima nascosto all'interno di un documento Word allegato a un'email che sostiene di essere una fattura da pagare. Se si apre il documento e le macro di Office sono attive, l'installazione del malware si avvia.

Difendersi tenendo le macro disattivate funziona soltanto se non si cade nella trappola predisposta dagli autori del malware proprio per contrastare questa evenienza: se il supporto alle macro non è attivo, infatti, il documento Word appare pieno di scritte incomprensibili (caratteri casuali, in buona sostanza), mentre un messaggio avvisa che è necessario «Attivare le macro se la codifica dei dati non è corretta».

Sondaggio
Un sito Internet richiede che la password sia pi¨ complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (2985 voti)
Leggi i commenti (12)

Così, nella speranza di riuscire a leggere il documento (che - ricordiamo - dovrebbe contenere una fattura per la quale è richiesto un pagamento) la vittima ignara potrebbe decidere di attivare le macro, mettendosi in tal modo il cappio al collo con le proprie mani.

A quel punto, infatti, lo script contenuto nel documento scarica il ransomware vero e proprio da un server web e lo salva nella cartella temporanea dell'utente attivo, per poi installarlo.

email message locky

Una volta attivato, esso effettua una scansione di tutti i drive (compresi quelli di rete) e crittografa i documenti, i file musicali, i file video, le immagini, gli archivi, i database e i file relativi alle applicazioni web.

Ogni file crittografato viene rinominato: avrà un nome composto da una serie di caratteri alfanumerici e l'estensione .locky.

word document

Alla fine, il malware crea in ogni cartella crittografata un file di testo dal nome _Locky_recover_instructions.txt, nel quale è indicato come effettuare il pagamento in seguito al quale sarà possibile sbloccare i file. Per buona misura, lo stesso messaggio contenuto nel file di testo viene impostato come sfondo del desktop.

Bleeping Computer ritiene che siano già centinaia i PC infetti in Europa, Russia, Stati Uniti, Pakistan e Mali, e che le vittime potenziali siano moltissime.

text ransom note

Le macro di Office sono infatti in uso da oltre vent'anni e spesso in ambito aziendale si adopera ancora del codice scritto negli anni '90: in questi casi, chiedere a tutti di disabilitare le macro non è possibile e chiedere agli utenti di firmare le proprie macro è un processo lungo che può richiedere dei mesi.

Il risultato è che se il software antimalware non è in grado di rilevare Locky basta un clic per cadere nella trappola dei ricattatori.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)

E' adeguato anche un backup incrementale - volendo anche in questo caso con selezione del numero di versioni da mantenere per ogni file - su HD esterno USB avendo l'accortezza di scollegarlo dopo ogni backup per evitare che, in caso di attacco possa essere criptato anch'esso.
28-2-2016 15:50

{Daniele}
Per dormire sonni tranquilli (almeno rispetto al ransomware) non basterebbe avere un servizio di cloud storage con versioning dei file? In caso di attacco dovrei poter recuperare la versione precedente dei files senza problemi. Giusto?
26-2-2016 11:24

Prego! ;) Ricordati di mantenere sempre disattivate le macro. Attivale solo quando apri documenti di sicura provenienza.
24-2-2016 21:15

bdoriano, grazie 1k per la reply :ok!:
24-2-2016 07:36

Le macro di LibreOffice e OpenOffice usano oggetti e metodi diversi rispetto a Microsoft Office. Leggi tutto
23-2-2016 23:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te il Codice della Strada dovrebbe proibire di indossare i Google Glass mentre si guida?
Sý, perchÚ rappresentano una distrazione peggiore degli SMS, e quindi un pericolo.
No, perchÚ come tutte le cose possono essere utilizzati bene o male. Altrimenti dovremmo vietare anche i navigatori GPS.
Ho un'altra opinione (la illustro nei commenti qui sotto)

Mostra i risultati (1058 voti)
Giugno 2023
Pirati del web in lutto: Rarbg chiude per sempre
Venti di tecnocontrollo in Spagna
Maggio 2023
Stack Overflow è la prima vittima della IA
WhatsApp, ora i messaggi si possono modificare dopo l'invio
HP e l'aggiornamento che rende inutilizzabili le stampanti
Windows 10 21H2, aggiornamento forzato in vista
Google Chrome dirà addio al lucchetto da settembre
WhatsApp accede di nascosto al microfono. Solo un bug di Android?
Western Digital agli utenti: gli hacker hanno i vostri dati
Il “Padrino della IA” lascia Google per avvertire il mondo dei pericoli
Aprile 2023
WhatsApp introduce il supporto a più smartphone
La UE metterà il naso negli algoritmi dei giganti del web
Con la vendita della Rete TIM avremo le tariffe più alte
Windows 11 in versione live
Western Digital violata, sottratti 10 Tbyte di dati
Tutti gli Arretrati
Accadde oggi - 5 giugno


web metrics