Il ransomware che riavvia il PC in modalità provvisoria

Aggira gli antivirus e agisce indisturbato.



[ZEUS News - www.zeusnews.it - 09-12-2019]

snatch ransomware modalita provvisoria

Gli antivirus odierni cercano tutti di avere un approccio che amano definire proattivo all'apparizione delle varie minacce informatiche: non si limitano a rilevare gli eventuali problemi con una scansione, ma i loro componenti sorvegliano continuamente lo stato del PC.

Così, se vogliono sopravvivere e portare a termine il loro nefasto scopo di vita, i virus devono farsi furbi e comportarsi come fa per esempio Snatch, che usa una particolare caratteristica di Windows a proprio vantaggio.

Snatch è un ransomware che, quando riesce a conquistare un PC, non si mette immediatamente a cifrare i file. Si diffonde come molti suoi colleghi - per esempio mascherandosi da allegato innocuo - e, quando ha raggirato con successo l'utente di turno, come prima azione si registra quale servizio di sistema da eseguire anche in Modalità provvisoria.

È questa una speciale modalità di Windows in cui vengono caricati soltanto i servizi essenziali: viene generalmente adoperata quando ci sono dei problemi ostici che non si riesce a eliminare operando in modalità normale.

Il guaio è che gli antivirus non vengono considerati, di solito, come servizi essenziali o, quantomeno, non tanto essenziali da dover essere attivati anche in Modalità Provvisoria.

Snatch si registra quindi come servizio indispensabile, e poi riavvia il PC facendolo entrare proprio in Modalità Provvisoria: è solo a quel punto, mentre l'antivirus dorme beato e ignaro, inizia a cifrare i file, avendo cura anche di sottrarre i dati sensibili trovati sul computer.

Il comportamento di Snatch è una novità nel panorama del malware, e non va sottovalutato.

Commenta Andrew Brandt, di Sophos: «SophosLab ritiene che la gravità del rischio costituito dal ransomware che gira in Modalità Provvisoria non è per nulla ingigantito, e che è necessario rendere note queste informazioni come monito sia a quanti si occupano professionalmente di sicurezza sia agli utenti finali».

Se un lato positivo in questa vicenda c'è, esso sta nel fatto che gli autori di Snatch per ora non hanno preso di mira gli utenti domestici ma hanno agito soltanto verso bersagli mirati, grandi aziende ed enti governativi.

Chiaramente, però, se questa tecnica prenderà piede anche negli altri ransomware gli utenti - e ancor più i produttori di antivirus - dovranno sapervi far fronte.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 9)

Sì, concordo, incompetenti è sicuramente più adeguato. :wink:
22-12-2019 18:35

Hai ragione, il termine "cretini" non è appropriato e me ne scuso. Forse il termine giusto è incompetenti. Leggi tutto
22-12-2019 15:35

Non si tratta di cretini ma di persone che usano un PC pur avendo poca o nulla dimestichezza con gli aspetti basilari del funzionamento del SO e con la malizia dei criminali informatici, questo nella maggior parte dei casi, in altri casi di persone superficiali o poco attente (non so se per te sono questi ultimi i cretini? :wink: ). In... Leggi tutto
21-12-2019 14:28

Gladiator ha scritto: Io non penso che questo tipo di ransomware avrà molto successo, proprio perchè le "vittime" sono troppo poche. Un po come Linux, prende poche ( rare) infezioni, perchè ha utenze vicino a un prefisso telefonico. (forse qualcosa in più) Leggi tutto
19-12-2019 18:57

@R16 Concordo sul fatto che non è il comportamento del ransomware in questione - almeno non si parla nell'articolo di comportamenti di questo tipo - ma se, ipoteticamente, il creatore del ransomware facesse apparire una schermata blu tipo BSOD ben falsificata in cui si chiede di premere il tasto per riavviare il PC in modalità... Leggi tutto
16-12-2019 19:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Cosa ne pensi degli oggetti volanti non identificati?
Sono bufale.
Sono navi spaziali extraterrestri.
Sono esperimenti segreti di alcuni governi.
E' attività demoniaca.

Mostra i risultati (3594 voti)
Febbraio 2024
Flipper Zero non è un gadget per “hackerare tutto”
Windows 11, malfunzionamenti a raffica dopo l'ultimo update
L'attacco informatico con gli spazzolini da denti
Malware di fabbrica nei mini PC venduti su Amazon
Samsung, beccata a barare, la butta sul filosofico
Google dice addio alla cache delle pagine web
LibreOffice 24.2 è pronto per il download
Gennaio 2024
Windows 11, sparisce la barra delle applicazioni
Al posto di Windows 12, un Windows 11 più snello e pieno di IA
IA, clonare le voci per truffare il prossimo è un gioco da ragazzi
No, le auto elettriche non vanno in tilt per il freddo
Errore 0x80070643 in Windows Update: la soluzione è un po' nerd
Rilasciato Scribus 1.6, la soluzione open source per il desktop publishing
Microsoft lancia il tasto Copilot
SSD, prezzi in aumento
Tutti gli Arretrati
Accadde oggi - 21 febbraio


web metrics