Quando gli hacker malvagi si annoiano, non si fermano finché non trovano nuovi modi per fare del male e fare soldi con le spalle delle loro vittime. Una nuova minaccia sta seminando paura tra gli utenti di Internet, ed è una variante del ransomware denominata "CryPy", scritta in linguaggio Python. A differenza di altri malware, assegna una chiave univoca a ogni file crittografato sul sistema della vittima ed è molto difficile decrittografarlo.
Siamo stati avvertiti dell'esistenza di CryPy dal ricercatore di AVG, Jakub Kroustek, che ha pubblicato sul suo account Twitter che questo ransomware è stato individuato in natura. Sembra che CryPy sia composto da due file: boot_common.py, che viene utilizzato per la registrazione degli errori su Windows e encryptor.py, che è l'armadietto e contiene una serie di funzioni. Sembra che ci sia un server web in Israele, che è stato compromesso utilizzando una vulnerabilità in una gestione dei contenuti (Magento) e gli hacker hanno utilizzato il server per attacchi di phishing.
Si ritiene che dietro questi attacchi ci siano alcuni sviluppatori di lingua ebraica, che sono stati in grado di rubare le credenziali di Paypal e quindi inoltrarle a un server remoto in Messico contenente una gestione dei contenuti diversa, ma la stessa tecnica di caricamento dei file. Per quanto riguarda CryPy, una volta che infetta un sistema, disabilita le funzionalità che solitamente terminano il malware, come Strumenti di registro, Task Manager, CMD ed Esegui. Dopodiché, crittografa i file e assegna una chiave univoca per ogni file crittografato. Quindi, alle vittime viene inviata una richiesta di riscatto che dice:
“Tutti i tuoi file sono crittografati con potenti chipher [sic]. La decrittografia dei file è possibile solo con il programma di decrittografia, che si trova sul nostro server segreto. Tieni presente che ogni 6 ore un file casuale viene eliminato definitivamente. Più sei veloce, meno file perderai. Inoltre, in 96 ore, la chiave verrà eliminata definitivamente e non ci sarà modo di recuperare i file. Per ricevere il programma di decrittazione, contatta una delle e-mail: 1. m4n14k @ sigaint [.] Org 2. blackone @ sigaint [.] Org. Basta comunicare il tuo ID di identificazione e ti daremo le istruzioni successive. Il tuo ID di identificazione personale: "
Non è noto se il ransomware abbia ancora fatto delle vittime, ma è importante installare un potente software anti-ransomware, per evitare questi attacchi.
STORIE CORRELATE DA VERIFICARE:
- Scarica AVG Antivirus Free per Windows 8, Windows 10 [ultima versione]
- Gli sviluppatori di ransomware DXXD rendono impossibile decrittografare il malware
- Pulisci le app di Windows 8, 10 Store e Windows 8.1, 10 con AVG PC TuneUp
- CryPy