Ransomware per Linux

Si chiama Linux.Encoder.1 il primo ransomware per Linux.

Il programma in questione (ma potrebbero uscire altre varianti in seguito) richiede privilegi amministrativi perché si demonizza prima di agire.

Sento già qualcuno dire «Allora io sono tranquillo» e mi permetto di rispondere «Un bel par di palle!» Leggi tutto “Ransomware per Linux”

Backup anti-ransomware

Siamo in un periodo in cui parte del malware è scritto con la finalità di bloccare i file di dati per poi chiedere un riscatto (ransomware).

In questo momento il ransomware è diffuso in ambiente Windows, ma presumere di essere immuni solo per il fatto di non utilizzare Windows è da sprovveduti.

Ci sono delle strategie di backup semplici da attuare che permettono di mettersi relativamente al sicuro in caso di attacchi di questo tipo ed evitare disastri. Leggi tutto “Backup anti-ransomware”

Ransomware e backup

CHIUSO / CLOSEDDopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.

Questa nuova famiglia di malware impone una revisione delle politiche di backup.

Leggi tutto “Ransomware e backup”

Ransomware “Guardia di Finanza”

FakeGdFIl finto ransomware della “Guardia di Finanza” è in giro da qualche anno.

Le prime versioni, come quella riprodotta a lato, erano credibili come una moneta da tre Euro, ma riuscivano comunque a bloccare il computer.

La seconda generazione si è fatta più furba: il loader del ransomware comunica con il C&C, il quale analizza l’IP pubblico della vittima e trasmette la schermata “giusta” in base alla nazione con la corretta forza di polizia. Questa generazione è anche abbastanza pericolosa perché dopo alcuni reboot cambia attributi e permessi di tutto il file system rendendo di fatto il computer inutilizzabile se non dopo la reinstallazione del sistema operativo.

Una versione che mi è capitata tra le mani un mese fa attiva la webcam del portatile e mostra quello che viene acquisito in un riquadro della schermata della presunta autorità di polizia: in pratica l’utente vede il proprio faccione nel finto mandato di sequestro. Un tocco di perversa genialità, bisogna ammetterlo.

La versione che ho visto questa sera da un cliente fa in modo che se si avvia il computer (un Windows 7 Home in questo caso) in modalità provvisoria un programma in avvio automatico lancia un immediato reboot del sistema operativo.

Il trucco è per fortuna aggirabile avviando Windows in modalità provvisoria con la sola interfaccia a riga di comando, in questo modo non vengono eseguiti i programmi in avvio automatico di Explorer. Dalla shell a riga di comando si esegue EXPLORER, che avvia la shell grafica, ma senza eseguire i programmi in avvio automatico. Da lì si può togliere il ransomware con ComboFix o programmi analoghi.