Il ransomware che riavvia il PC in modalità provvisoria

Aggira gli antivirus e agisce indisturbato.



[ZEUS News - www.zeusnews.it - 09-12-2019]

snatch ransomware modalita provvisoria

Gli antivirus odierni cercano tutti di avere un approccio che amano definire proattivo all'apparizione delle varie minacce informatiche: non si limitano a rilevare gli eventuali problemi con una scansione, ma i loro componenti sorvegliano continuamente lo stato del PC.

Così, se vogliono sopravvivere e portare a termine il loro nefasto scopo di vita, i virus devono farsi furbi e comportarsi come fa per esempio Snatch, che usa una particolare caratteristica di Windows a proprio vantaggio.

Snatch è un ransomware che, quando riesce a conquistare un PC, non si mette immediatamente a cifrare i file. Si diffonde come molti suoi colleghi - per esempio mascherandosi da allegato innocuo - e, quando ha raggirato con successo l'utente di turno, come prima azione si registra quale servizio di sistema da eseguire anche in Modalità provvisoria.

È questa una speciale modalità di Windows in cui vengono caricati soltanto i servizi essenziali: viene generalmente adoperata quando ci sono dei problemi ostici che non si riesce a eliminare operando in modalità normale.

Il guaio è che gli antivirus non vengono considerati, di solito, come servizi essenziali o, quantomeno, non tanto essenziali da dover essere attivati anche in Modalità Provvisoria.

Snatch si registra quindi come servizio indispensabile, e poi riavvia il PC facendolo entrare proprio in Modalità Provvisoria: è solo a quel punto, mentre l'antivirus dorme beato e ignaro, inizia a cifrare i file, avendo cura anche di sottrarre i dati sensibili trovati sul computer.

Il comportamento di Snatch è una novità nel panorama del malware, e non va sottovalutato.

Commenta Andrew Brandt, di Sophos: «SophosLab ritiene che la gravità del rischio costituito dal ransomware che gira in Modalità Provvisoria non è per nulla ingigantito, e che è necessario rendere note queste informazioni come monito sia a quanti si occupano professionalmente di sicurezza sia agli utenti finali».

Se un lato positivo in questa vicenda c'è, esso sta nel fatto che gli autori di Snatch per ora non hanno preso di mira gli utenti domestici ma hanno agito soltanto verso bersagli mirati, grandi aziende ed enti governativi.

Chiaramente, però, se questa tecnica prenderà piede anche negli altri ransomware gli utenti - e ancor più i produttori di antivirus - dovranno sapervi far fronte.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 9)

Sì, concordo, incompetenti è sicuramente più adeguato. :wink:
22-12-2019 18:35

Hai ragione, il termine "cretini" non è appropriato e me ne scuso. Forse il termine giusto è incompetenti. Leggi tutto
22-12-2019 15:35

Non si tratta di cretini ma di persone che usano un PC pur avendo poca o nulla dimestichezza con gli aspetti basilari del funzionamento del SO e con la malizia dei criminali informatici, questo nella maggior parte dei casi, in altri casi di persone superficiali o poco attente (non so se per te sono questi ultimi i cretini? :wink: ). In... Leggi tutto
21-12-2019 14:28

Gladiator ha scritto: Io non penso che questo tipo di ransomware avrà molto successo, proprio perchè le "vittime" sono troppo poche. Un po come Linux, prende poche ( rare) infezioni, perchè ha utenze vicino a un prefisso telefonico. (forse qualcosa in più) Leggi tutto
19-12-2019 18:57

@R16 Concordo sul fatto che non è il comportamento del ransomware in questione - almeno non si parla nell'articolo di comportamenti di questo tipo - ma se, ipoteticamente, il creatore del ransomware facesse apparire una schermata blu tipo BSOD ben falsificata in cui si chiede di premere il tasto per riavviare il PC in modalità... Leggi tutto
16-12-2019 19:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto spendi di elettricità ogni mese?
Meno di 30 euro
Tra 30 e 50 euro
Tra 50 e 75 euro
Tra 75 e 100 euro
Tra 100 e 150 euro
Più di 150 euro

Mostra i risultati (2946 voti)
Dicembre 2024
Intesa San Paolo, un lunedì di disservizi
Windows 11 perde utenti nonostante gli sforzi di Microsoft
Novembre 2024
Huawei, l'addio ad Android è completo
Contanti e trionfanti
WhatsApp, la trascrizione dei messaggi vocali è realtà
La vecchietta digitale che fa perdere tempo ai truffatori telefonici
La punteggiatura è morta: l'ha uccisa l'iPhone
Elon Musk e l'attacco ai giudici italiani
D-Link, falla in migliaia di NAS non sarà mai corretta
L'app per aggiornare a Windows 11 anche i PC non supportati
Lo script per aggirare i requisiti hardware di Windows 11
Windows, ora si può accede allo smartphone senza il cavo USB
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Windows 11 24H2, bug a non finire
Tutti gli Arretrati
Accadde oggi - 6 dicembre


web metrics