Il ransomware che riavvia il PC in modalità provvisoria

Aggira gli antivirus e agisce indisturbato.



[ZEUS News - www.zeusnews.it - 09-12-2019]

snatch ransomware modalita provvisoria

Gli antivirus odierni cercano tutti di avere un approccio che amano definire proattivo all'apparizione delle varie minacce informatiche: non si limitano a rilevare gli eventuali problemi con una scansione, ma i loro componenti sorvegliano continuamente lo stato del PC.

Così, se vogliono sopravvivere e portare a termine il loro nefasto scopo di vita, i virus devono farsi furbi e comportarsi come fa per esempio Snatch, che usa una particolare caratteristica di Windows a proprio vantaggio.

Snatch è un ransomware che, quando riesce a conquistare un PC, non si mette immediatamente a cifrare i file. Si diffonde come molti suoi colleghi - per esempio mascherandosi da allegato innocuo - e, quando ha raggirato con successo l'utente di turno, come prima azione si registra quale servizio di sistema da eseguire anche in Modalità provvisoria.

È questa una speciale modalità di Windows in cui vengono caricati soltanto i servizi essenziali: viene generalmente adoperata quando ci sono dei problemi ostici che non si riesce a eliminare operando in modalità normale.

Il guaio è che gli antivirus non vengono considerati, di solito, come servizi essenziali o, quantomeno, non tanto essenziali da dover essere attivati anche in Modalità Provvisoria.

Snatch si registra quindi come servizio indispensabile, e poi riavvia il PC facendolo entrare proprio in Modalità Provvisoria: è solo a quel punto, mentre l'antivirus dorme beato e ignaro, inizia a cifrare i file, avendo cura anche di sottrarre i dati sensibili trovati sul computer.

Il comportamento di Snatch è una novità nel panorama del malware, e non va sottovalutato.

Commenta Andrew Brandt, di Sophos: «SophosLab ritiene che la gravità del rischio costituito dal ransomware che gira in Modalità Provvisoria non è per nulla ingigantito, e che è necessario rendere note queste informazioni come monito sia a quanti si occupano professionalmente di sicurezza sia agli utenti finali».

Se un lato positivo in questa vicenda c'è, esso sta nel fatto che gli autori di Snatch per ora non hanno preso di mira gli utenti domestici ma hanno agito soltanto verso bersagli mirati, grandi aziende ed enti governativi.

Chiaramente, però, se questa tecnica prenderà piede anche negli altri ransomware gli utenti - e ancor più i produttori di antivirus - dovranno sapervi far fronte.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Lo scenario delle minacce informatiche del 2019
Il ransomware che si spaccia per il November Update di Windows
Maze, il ransomware che si spaccia per l'Agenzia delle Entrate
Programmatore vittima di ransomware viola il server degli hacker
Il ransomware che arriva via PEC
Autore di ransomware pentito rilascia le chiavi per decifrare i file

Commenti all'articolo (ultimi 5 di 9)

Sì, concordo, incompetenti è sicuramente più adeguato. :wink:
22-12-2019 18:35

Hai ragione, il termine "cretini" non è appropriato e me ne scuso. Forse il termine giusto è incompetenti. Leggi tutto
22-12-2019 15:35

Non si tratta di cretini ma di persone che usano un PC pur avendo poca o nulla dimestichezza con gli aspetti basilari del funzionamento del SO e con la malizia dei criminali informatici, questo nella maggior parte dei casi, in altri casi di persone superficiali o poco attente (non so se per te sono questi ultimi i cretini? :wink: ). In... Leggi tutto
21-12-2019 14:28

Gladiator ha scritto: Io non penso che questo tipo di ransomware avrà molto successo, proprio perchè le "vittime" sono troppo poche. Un po come Linux, prende poche ( rare) infezioni, perchè ha utenze vicino a un prefisso telefonico. (forse qualcosa in più) Leggi tutto
19-12-2019 18:57

@R16 Concordo sul fatto che non è il comportamento del ransomware in questione - almeno non si parla nell'articolo di comportamenti di questo tipo - ma se, ipoteticamente, il creatore del ransomware facesse apparire una schermata blu tipo BSOD ben falsificata in cui si chiede di premere il tasto per riavviare il PC in modalità... Leggi tutto
16-12-2019 19:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai un'idea nel cassetto e ti piacerebbe aprire una startup per realizzarla. Che cosa ti frena?
Non ho i soldi per farla partire
Il momento economico non è favorevole
Non ho ancora trovato le persone giuste con cui farlo
E' troppo rischioso per me
Non sono sicuro di riuscire a portarlo a termine
Sarebbe troppo complicato, indipendentemente dai soldi
Non mi sento portato a fare l'imprenditore
E' solo un sogno e in realtà non credo che lo farei
Per un altro motivo e cioè...

Mostra i risultati (1261 voti)
Giugno 2020
Windows 10, il nuovo Edge ha iniziato a rimpiazzare il vecchio
Altro che Immuni: il Bluetooth va tenuto spento!
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Da Samsung lo smartphone da usare in guerra
Microsoft confessa: ''Sull'open source abbiamo sbagliato tutto''
Da OnePlus lo smartphone che vede attraverso gli oggetti (e i vestiti)
Windows 10, inizia l'abbandono dei 32 bit
Facebook, arriva la nuova interfaccia. Senza possibilità di fuga
UE, giro di vite sui cookie
L'app che snellisce Windows 10
Windows 10, l'aggiornamento di maggio uscirà con un bug
WhatsApp, finalmente arriva il supporto a più dispositivi
Aprile 2020
Windows 10 diventa più scattante con il May 2020 Update
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
Tutti gli Arretrati


web metrics