Il ransomware che cifra l'hard disk si diffonde nei documenti Word

Il pericolo è nelle macro.



[ZEUS News - www.zeusnews.it - 22-02-2016]

Ransomware Locky

Le vecchie tecniche spesso sono le migliori, anche quando si tratta di diffondere malware.

In questo caso stiamo parlando di come un ransomware recentemente scoperto e battezzato Locky si diffonda sotto forma di una macro per Microsoft Word.

Kevin Beaumont e Lawrence Abrams di Bleeping Computer hanno analizzato Locky scoprendone il comportamento e i danni che può causare.

Generalmente giunge alla sua vittima nascosto all'interno di un documento Word allegato a un'email che sostiene di essere una fattura da pagare. Se si apre il documento e le macro di Office sono attive, l'installazione del malware si avvia.

Difendersi tenendo le macro disattivate funziona soltanto se non si cade nella trappola predisposta dagli autori del malware proprio per contrastare questa evenienza: se il supporto alle macro non è attivo, infatti, il documento Word appare pieno di scritte incomprensibili (caratteri casuali, in buona sostanza), mentre un messaggio avvisa che è necessario «Attivare le macro se la codifica dei dati non è corretta».

Sondaggio
Un sito Internet richiede che la password sia più complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (2658 voti)
Leggi i commenti (12)

Così, nella speranza di riuscire a leggere il documento (che - ricordiamo - dovrebbe contenere una fattura per la quale è richiesto un pagamento) la vittima ignara potrebbe decidere di attivare le macro, mettendosi in tal modo il cappio al collo con le proprie mani.

A quel punto, infatti, lo script contenuto nel documento scarica il ransomware vero e proprio da un server web e lo salva nella cartella temporanea dell'utente attivo, per poi installarlo.

email message locky

Una volta attivato, esso effettua una scansione di tutti i drive (compresi quelli di rete) e crittografa i documenti, i file musicali, i file video, le immagini, gli archivi, i database e i file relativi alle applicazioni web.

Ogni file crittografato viene rinominato: avrà un nome composto da una serie di caratteri alfanumerici e l'estensione .locky.

word document

Alla fine, il malware crea in ogni cartella crittografata un file di testo dal nome _Locky_recover_instructions.txt, nel quale è indicato come effettuare il pagamento in seguito al quale sarà possibile sbloccare i file. Per buona misura, lo stesso messaggio contenuto nel file di testo viene impostato come sfondo del desktop.

Bleeping Computer ritiene che siano già centinaia i PC infetti in Europa, Russia, Stati Uniti, Pakistan e Mali, e che le vittime potenziali siano moltissime.

text ransom note

Le macro di Office sono infatti in uso da oltre vent'anni e spesso in ambito aziendale si adopera ancora del codice scritto negli anni '90: in questi casi, chiedere a tutti di disabilitare le macro non è possibile e chiedere agli utenti di firmare le proprie macro è un processo lungo che può richiedere dei mesi.

Il risultato è che se il software antimalware non è in grado di rilevare Locky basta un clic per cadere nella trappola dei ricattatori.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Microsoft Office 2016 blocca le macro per fermare il ransomware
Macro, crittografia, message dispatcher e molto altro
I quindici malware più pericolosi della storia
Il primo virus per OpenOffice
Virus nelle immagini Jpeg, l'ultima frontiera
Come ti frego Word

Commenti all'articolo (ultimi 5 di 7)

E' adeguato anche un backup incrementale - volendo anche in questo caso con selezione del numero di versioni da mantenere per ogni file - su HD esterno USB avendo l'accortezza di scollegarlo dopo ogni backup per evitare che, in caso di attacco possa essere criptato anch'esso.
28-2-2016 15:50

{Daniele}
Per dormire sonni tranquilli (almeno rispetto al ransomware) non basterebbe avere un servizio di cloud storage con versioning dei file? In caso di attacco dovrei poter recuperare la versione precedente dei files senza problemi. Giusto?
26-2-2016 11:24

Prego! ;) Ricordati di mantenere sempre disattivate le macro. Attivale solo quando apri documenti di sicura provenienza.
24-2-2016 21:15

bdoriano, grazie 1k per la reply :ok!:
24-2-2016 07:36

Le macro di LibreOffice e OpenOffice usano oggetti e metodi diversi rispetto a Microsoft Office. Leggi tutto
23-2-2016 23:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La discriminazione è più difficile da vedere rispetto al passato, ma c'è sempre. Quale di queste affermazioni ti senti di condividere maggiormente?
Le donne spesso sono additate come più pettegole degli uomini e ritenute meno simpatiche.
Le donne hanno più difficoltà degli uomini a ricevere il giusto credito quando partecipano a progetti di gruppo.
Le donne sono giudicate più severamente degli uomini per il loro aspetto.
Le donne in genere ricevono delle proposte economiche più basse degli uomini, a parità di posizione.
Le donne sono ritenute non qualificate fino a quando non hanno dato prova di esserlo, agli uomini accade meno spesso.
Le donne vengono promosse in base ai risultati, gli uomini (anche) in base al potenziale.
Le donne spesso non vengono invitate tanto quanto gli uomini a eventi di socializzazione come le uscite al pub o a vedere le partite.

Mostra i risultati (1011 voti)
Agosto 2019
Bug negli iPhone, ritorna il jailbreaking
Windows 10, errori nel patch Tuesday di agosto
Il cavo USB che permette di violare qualsiasi iPhone
Matteo Salvini condannato per violazione del diritto d'autore
Falla nelle fotocamere digitali, si rischia un'epidemia di malware
iPhone, cambiare la batteria diventa ancora più difficile
Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate
Lo smartphone senza Android di Huawei arriverà entro la fine dell'anno
Facebook cambia nome a Instagram e WhatsApp
L'85% di tutti i Bitcoin è già stato generato
La carta di credito di Apple debutta in agosto
Luglio 2019
Windows 10, arriva il ripristino via Internet
Il condizionatore portatile di Sony da indossare sotto i vestiti
5G, miti da smontare e paure pilotate
VLC, panico nel Web per una falla estremamente grave
Tutti gli Arretrati


web metrics