Il ransomware che riavvia il PC in modalità provvisoria

Aggira gli antivirus e agisce indisturbato.



[ZEUS News - www.zeusnews.it - 09-12-2019]

snatch ransomware modalita provvisoria

Gli antivirus odierni cercano tutti di avere un approccio che amano definire proattivo all'apparizione delle varie minacce informatiche: non si limitano a rilevare gli eventuali problemi con una scansione, ma i loro componenti sorvegliano continuamente lo stato del PC.

Così, se vogliono sopravvivere e portare a termine il loro nefasto scopo di vita, i virus devono farsi furbi e comportarsi come fa per esempio Snatch, che usa una particolare caratteristica di Windows a proprio vantaggio.

Snatch è un ransomware che, quando riesce a conquistare un PC, non si mette immediatamente a cifrare i file. Si diffonde come molti suoi colleghi - per esempio mascherandosi da allegato innocuo - e, quando ha raggirato con successo l'utente di turno, come prima azione si registra quale servizio di sistema da eseguire anche in Modalità provvisoria.

Leggi anche:
Hacker etici regalano l'anti-ransomware all'ospedale
L'antivirus open source ClamAV raggiunge la versione 1.0
L'Università che è riuscita a trarre profitto dal ransomware che l...
Studenti e lavoratori in smart working nel mirino dei ransomware

È questa una speciale modalità di Windows in cui vengono caricati soltanto i servizi essenziali: viene generalmente adoperata quando ci sono dei problemi ostici che non si riesce a eliminare operando in modalità normale.

Il guaio è che gli antivirus non vengono considerati, di solito, come servizi essenziali o, quantomeno, non tanto essenziali da dover essere attivati anche in Modalità Provvisoria.

Snatch si registra quindi come servizio indispensabile, e poi riavvia il PC facendolo entrare proprio in Modalità Provvisoria: è solo a quel punto, mentre l'antivirus dorme beato e ignaro, inizia a cifrare i file, avendo cura anche di sottrarre i dati sensibili trovati sul computer.

Non perderti anche:
Lo scenario delle minacce informatiche del 2019
Il ransomware che si spaccia per il November Update di Windows
Maze, il ransomware che si spaccia per l'Agenzia delle Entrate
Programmatore vittima di ransomware viola il server degli hacker

Il comportamento di Snatch è una novità nel panorama del malware, e non va sottovalutato.

Commenta Andrew Brandt, di Sophos: «SophosLab ritiene che la gravità del rischio costituito dal ransomware che gira in Modalità Provvisoria non è per nulla ingigantito, e che è necessario rendere note queste informazioni come monito sia a quanti si occupano professionalmente di sicurezza sia agli utenti finali».

Se un lato positivo in questa vicenda c'è, esso sta nel fatto che gli autori di Snatch per ora non hanno preso di mira gli utenti domestici ma hanno agito soltanto verso bersagli mirati, grandi aziende ed enti governativi.

Chiaramente, però, se questa tecnica prenderà piede anche negli altri ransomware gli utenti - e ancor più i produttori di antivirus - dovranno sapervi far fronte.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 9)


Gladiator
Sì, concordo, incompetenti è sicuramente più adeguato. :wink:
22-12-2019 18:35

R16
Hai ragione, il termine "cretini" non è appropriato e me ne scuso. Forse il termine giusto è incompetenti. Leggi tutto
22-12-2019 15:35

Gladiator
Non si tratta di cretini ma di persone che usano un PC pur avendo poca o nulla dimestichezza con gli aspetti basilari del funzionamento del SO e con la malizia dei criminali informatici, questo nella maggior parte dei casi, in altri casi di persone superficiali o poco attente (non so se per te sono questi ultimi i cretini? :wink: ). In... Leggi tutto
21-12-2019 14:28

R16
Gladiator ha scritto: Io non penso che questo tipo di ransomware avrà molto successo, proprio perchè le "vittime" sono troppo poche. Un po come Linux, prende poche ( rare) infezioni, perchè ha utenze vicino a un prefisso telefonico. (forse qualcosa in più) Leggi tutto
19-12-2019 18:57

Gladiator
@R16 Concordo sul fatto che non è il comportamento del ransomware in questione - almeno non si parla nell'articolo di comportamenti di questo tipo - ma se, ipoteticamente, il creatore del ransomware facesse apparire una schermata blu tipo BSOD ben falsificata in cui si chiede di premere il tasto per riavviare il PC in modalità... Leggi tutto
16-12-2019 19:12
Leggi gli altri 4 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
L'aggravarsi del tasso di inquinamento atmosferico fa assumere alle amministrazioni comunali la decisione di bloccare la circolazione delle auto. Cosa ne pensi?
Era ora: si tratta di una misura necessaria e urgente.
I blocchi del traffico sono inutili e peggiorano la vita delle persone.
Sono d'accordo, ma i provvedimenti dovrebbero essere più incisivi (o addirittura permanenti).
Sarei d'accordo solo se prima venissero potenziati i trasporti pubblici.
Non so.

Mostra i risultati (1712 voti)
Ottobre 2025
n. 4008 del 20-10-2025
Copilot Vision arriva in Italia: ora l'assistente "vede" il desktop e può eseguire comandi sul PC
n. 4007 del 16-10-2025
Infotainment in auto, nuove regole: i veicoli smart dovranno avere un'autoradio FM/DAB+
n. 4006 del 15-10-2025
Mozilla introduce Firefox VPN: navigazione cifrata nel browser. Privata e gratuita
n. 4005 del 13-10-2025
Windows 11 25H2: debutta il menu Start con layout dinamico e integrazione con lo smartphone
n. 4004 del 10-10-2025
DAZN chiede 500 euro di risarcimento a 2000 utenti già multati per pirateria. E minaccia cause
n. 4003 del 09-10-2025
Energia elettrica: il prezzo cambia ogni 15 minuti. Fasce orario stravolte, la sera costa di più
n. 4002 del 06-10-2025
Clothoff bloccata in Italia: il Garante Privacy ferma l'app che spoglia le persone con la IA
n. 4001 del 03-10-2025
Open Printer, stampante inkjet open source. Cartucce ricaricabili, design modulare e niente DRM
n. 4000 del 01-10-2025
Amazon Prime elimina la prova gratuita in Italia: i giorni di test passano da 30 a 7. E si pagano
Settembre 2025
n. 3999 del 29-09-2025
SPID a pagamento, l'era gratuita è finita: le Poste introducono un canone annuale
n. 3998 del 26-09-2025
YouTube ammette: "Obbligati dall'amministrazione Biden a sospendere certi canali"
n. 3997 del 25-09-2025
Commodore 64 Ultimate convince: boom di vendite, acquisizione anticipata
n. 3996 del 24-09-2025
Cookie, si va verso il consenso unico. L'Europa valuta l'integrazione nei browser web
n. 3995 del 22-09-2025
Google lancia l'app "unificata" per la ricerca in Windows: documenti locali, web e Google Drive
n. 3994 del 18-09-2025
Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non ci hanno attaccati"
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 20 ottobre
2025
Google introduce Recovery Contacts: recuperare l'account più facile con...
2024
Piracy Shield blocca Google Drive in tutta Italia
2023
Nokia licenzierà 14.000 persone
2022
Windows 11, in arrivo il primo "Momento"
2021
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
2020
Dalla Biblioteca di Alessandria ai floppy disk
2019
Energia rinnovabile dalle onde, il primo impianto è pronto a partire
2018
Kindle Paperwhite diventa più leggero, più sottile, e impermeabile
2017
Malware per violare i bancomat in vendita nel dark web
2016
Dodicenne riceve una fattura di 100.000 euro da Google: ha confuso AdWords e AdS...
2015
Siti di download
2014
L'invenzione italiana che rende potabile l'acqua radioattiva
2013
La nuova sede di Apple approvata da Steve Jobs
2012
Microsoft addestra i suoi a distinguere tra Windows 8 e RT
2011
Samsung anticipa Android 4.0 con Galaxy Nexus
2010
L'ospedale del futuro è senza carta e penna
2009
La Voce senza limiti di Telecom Italia
2008
BSA spara su eBay, ma a salve
2007
Un sensore brucerà gli incendi sul tempo
2006
Internet Explorer 7, un browser col baco
2004
Un film tutto italiano sull'open source
2003
Copyright contro open source
2002
Il decimo pianeta
2001
Niente GPS per i Talebani
Olimpo Informatico


 
web metrics