Ransomware Thanatos: l'analisi dei Quick Heal Security Labs - GIOVEDÌ 22 FEBBRAIO 2018 ![]() I Quick Heal Security Labs hanno individuato un nuovo tipo di ransomware, chiamato Thanatos. Questo nuovo ransomware utilizza AES come tecnica di criptazione, chiedendo 0,01 bitcoin di riscatto per i file infettati.
Thanatos presenta caratteristiche di diffusione simili ad altri ransomware: si diffonde attraverso le mail di spam, pubblicità ingannevoli, siti di phishing, software gratuiti o crackati. In particolare, nel caso delle mail di spam, è probabile che il ransomware si nasconda all'interno di allegati PDF, Zip, Word o Doc contenenti macro integrate. Aprire questi file abilitando la macro comporterà l'infezione. Flusso di criptazione Thanatos Durante l'esecuzione, il ransomware verificherà la presenza di alcuni software quali Avenues, Power Desk, Corel, Lorus, Power Point e Star Office.Se l'esecuzione avrà successo, Thanatos lascerà i seguenti file sul computer infetto: Exe file – ‘<%appdata%/random_folder/random.exe> ‘ Registry–‘user\current\software\Microsoft\Windows\CurrentVersion\Run\DO_NOT_DELETE_THIS = C:\Windows\System32\notepad.exe C:\Users\Desktop\README.txt’ Il file .exe, eseguibile del ransomware, avvierà la propria attività di criptazione non appena verrà copiato sul sistema infetto. ![]() Completata l'operazione di criptazione, verrà applicata ai file infetti l'estensione .THANATOS: inoltre il ransomware rilascerà la nota di riscatto, rinominata indicata con 'README.txt'. README.txt verrà mostrato all'utente come pop up ogni volta che viene riavviato il sistema a causa del registro autorun scaricato dal malware stesso. Completata la criptazione, il ransomware rimuoverà il proprio processo dalla memoria. Come ti protegge Quick Heal Quick Heal protegge gli utenti da tali rischi con una protezione multi livello. Tra questi livelli troviamo:
![]() ![]() ![]() I file infettati da questo tipo di ransomware sono molto difficili da decriptare, dal momento che utilizza una chiave diversa per ciascuno di essi e che queste vengono generate localmente. Come se non bastasse, gli utenti che vengono attaccati non ricevono avvisi relativi ad eventuali pagamenti di un riscatto. Per essere sicuri di non essere attaccati è consigliabile seguire pochi semplici passi:
Indicatori di compromissione MD5: – 681211a7b964eaffd13e0610d82a25e7 Leggi tutte le news | Leggi tutti gli update |
|
|
||||||
|