Win32/Filecoder.NFR si finge Google Chrome ma è un ransomware

SicurezzaVirus
0 9 Non ci sono commenti

Win32/Filecoder.NFR è una variante di Win32/Filecoder. Voi pensate di installare Chrome.exe e invece il ransomware vi crittografa i dati del pc. I rilievi di ESET

ESET proprio lo scorso mese aveva lanciato l’allarme relativo alla classifica del malware più diffuso e pericoloso. In quella classifica si trovava in buona posizione il gruppo di ransomware Win32/Filecoder. Una sua variante, precisamente Win32/Filecoder.NFR è responsabile dell’infelicità di chi è convinto di eseguire il browser Chrome (Chrome.exe) e si ritrova con i dati del computer criptati e la richiesta del relativo riscatto.

Win32/Filecoder.NFR è un trojan e funziona come malware As A Service, che risale a un server nella rete TOR, di quelli e sono sempre di più che si utilizzano per navigare nel Deep Web. Consente di lasciare ai criminali la scelta su cosa infettare nel sistema e che riscatto chiedere in BitCoin con messaggio intimidatorio personalizzato sullo schermo, da remoto rimarrà nelle mani dei criminali la possibilità di visualizzare su un’apposita dashboard il numero di utenti infettati e quanti di questi effettivamente hanno pagato il riscatto.

Quando Win32/Filecoder.NFR si installa sul sistema decomrpime i file dannosi nella cartella dei temporanei e si configura per l’esecuzione ad ogni avvio del sistema. Chrome.exe si presenta come l’originale di Google, con l’esclusione della firma digitale, che manca. Nota che comunque richiede una certa expertise all’utente, che tante volte è invece chiamato a installare file innocui privi anch’essi di firma digitale.

Win32/Filecoder.NFR che è in grado di crittografare, con codifica AES a 128 bit (una chiave nuova per ogni documento, con algoritmo RSA), file con un elevato numero di estensioni (j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4) si distingue anche per la sua pesantezza, circa 45 Mbyte, insolita per un ransomware. E Eset spiega come questo possa essere dovuto proprio all’intenzione di ingannare l’utente con dimensioni appropriate rispetto a quelle di Chrome.exe originale. Non deve temere chi installa Chrome dal sito Google, guai invece ad attivare l’installazione da allegati email, siti Web, e ovviamente è probabile una sua diffusione tramite backdoor e attacchi Drive-by-Download.

La rete di ESET deputata ai rilevamenti, basata sulla tecnologia proprietaria Live Grid, evidenzia come gli italiani, nei primi giorni del 2016 siano gli internauti più esposti a questo malware, con un picco del 6,35 percento.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore