Ransomware Thanatos: l'analisi dei Quick Heal Security Labs

Dettaglio news

Ransomware Thanatos: l'analisi dei Quick Heal Security Labs
- GIOVEDÌ 22 FEBBRAIO 2018

I Quick Heal Security Labs hanno individuato un nuovo tipo di ransomware, chiamato Thanatos. Questo nuovo ransomware utilizza AES come tecnica di criptazione, chiedendo 0,01 bitcoin di riscatto per i file infettati.

Thanatos presenta caratteristiche di diffusione simili ad altri ransomware: si diffonde attraverso le mail di spam, pubblicità ingannevoli, siti di phishing, software gratuiti o crackati. In particolare, nel caso delle mail di spam, è probabile che il ransomware si nasconda all'interno di allegati PDF, Zip, Word o Doc contenenti macro integrate. Aprire questi file abilitando la macro comporterà l'infezione.

Flusso di criptazione Thanatos

Durante l'esecuzione, il ransomware verificherà la presenza di alcuni software quali Avenues, Power Desk, Corel, Lorus, Power Point e Star Office.Se l'esecuzione avrà successo, Thanatos lascerà i seguenti file sul computer infetto:

Exe file – ‘<%appdata%/random_folder/random.exe> ‘

Registry–‘user\current\software\Microsoft\Windows\CurrentVersion\Run\DO_NOT_DELETE_THIS = C:\Windows\System32\notepad.exe C:\Users\Desktop\README.txt’

Il file .exe, eseguibile del ransomware, avvierà la propria attività di criptazione non appena verrà copiato sul sistema infetto.

Completata l'operazione di criptazione, verrà applicata ai file infetti l'estensione .THANATOS: inoltre il ransomware rilascerà la nota di riscatto, rinominata indicata con 'README.txt'.

README.txt verrà mostrato all'utente come pop up ogni volta che viene riavviato il sistema a causa del registro autorun scaricato dal malware stesso. Completata la criptazione, il ransomware rimuoverà il proprio processo dalla memoria.

Come ti protegge Quick Heal

Quick Heal protegge gli utenti da tali rischi con una protezione multi livello. Tra questi livelli troviamo:

Protezione contro i virus
Individuazione comportamentale
Anti-Ransomware

;

Come evitare attacchi ransomware

I file infettati da questo tipo di ransomware sono molto difficili da decriptare, dal momento che utilizza una chiave diversa per ciascuno di essi e che queste vengono generate localmente. Come se non bastasse, gli utenti che vengono attaccati non ricevono avvisi relativi ad eventuali pagamenti di un riscatto. Per essere sicuri di non essere attaccati è consigliabile seguire pochi semplici passi:

Tenete sempre un backup dei vostri dati all'interno di dischi esterni, come HDD o una pen drive. Considerate anche la possibilità di utilizzare un servizio di Cloud affidabile per l'archiviazione dei dati.
Evitate di installare versioni gratuite o crackate dei software.
Non aprite gli avvisi pubblicitari che trovate sui vari siti se non siete sicuri sicuri della loro autenticità.
Disattivate le macro quando usate MS Office.
Installate un antivirus e aggiornatelo costantemente onde evitare di essere esposti a possibili minacce.

Indicatori di compromissione

MD5: – 681211a7b964eaffd13e0610d82a25e7

Leggi tutte le news | Leggi tutti gli update

Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »