Locky
Potremmo dire che il 2016 è stato l’anno del Locky. Comparso infatti la prima volta nel mese di febbraio è stato il ransomware più diffuso sin’ora.
immagine tratta da PhishMe Q3 2016 Malware Report
Il veicolo principe per le infezioni di Locky sono state le campagne di phishing email lanciate dalla botnet Necurs (una delle più grandi reti di computer infetti al mondo).
Dall’immagine seguente si può notare che quasi il 97% delle mail di phishing trasportava un Locky!
(si veda anche Proofpoint Q3 2016 Threat Summary)
Once executed, Locky encrypts files and renames them with a .locky extension. The popularity and success of Locky has resulted in several updates and spin-offs, however, including versions that rename files with .zepto, .odin, .thor, and .osiris extensions.
L’esecuzione di Locky produce la cifratura (encryption) dei file presenti sui dischi locali del computer infetto e sulle share (o condivisioni) di rete a cui ha accesso tale computer.
Locky riesce anche a rendere inefficaci le shadow copies (VSS) e, spesso, si rende conto se è mandato in esecuzione in ambienti di tipo “sandbox”, rendendo quindi inefficaci buona parte degli antivirus.
Ai file criptati vengono date estensioni di vario tipo (a seconda della variante di Locky di cui si cade vittima):
- .locky
- .zepto
- .odin
- .thor
Cerber
Cerber ransom screen Bleeping Computer
Cerber è una variante di Locky che, utilizzando uno script Visual Basic (VBS script), parla alle proprie vittime (usando il sintetizzatore del PC infetto) si veda https://www.grahamcluley.com/cerber-ransomware-evolution/.
Un’altra sua particolarità è che è stato lanciato usando una piattaforma di “ransomware as a service” con cui era possibile affittare la piattaforma con cui spedire le mail infette in cambio di una percentuale sui riscatti percepiti.
CryptXXX
CryptXXX ransom screen TrendMicro
CryptXXX is a ransomware trojan that rose to prominence after the people behind TeslaCrypt ransomware called it quits. TeslaCrypt had been primarily delivered via the Angler and Neutrino exploit kits. With it gone, CryptXXX quickly became one of the go-to ransomware payloads for both (until Angler went belly up in June).
CryptXXX viene distribuito usando gli exploit kit (cioè codici inseriti in alcuni siti web usati per scoprire le vulnerabilità dei computer che si connettono al sito) Angler e Neutrino.
I file vengono criptati con estensione .crypt.
Petya
Potremmo dire che è si tratta di un ransomware un po pigro… infatti cripta solo la master file table rendendo il computer inaccessibile.
Shade
Questo tipo di ransomware fa uno scan del computer infetto per trovare account bancari, dati di carte di credito. Se li trova installa dei tool di controllo remoto con cui i cyber criminali potranno cercare di rubare direttamente del denaro al proprietario del computer infetto.
In alternativa procede a criptare i dati come fanno gli altri ransomware.
Virlock
Virlock rappresenta realmente un cryptovirus. È infatti capace di propagarsi su più postazioni, criptando anche account cloud storage ed applicazioni di collaborazione.
Supponiamo quindi che utente A ed utente B condividano una stessa cartella Dropbox.
Utente A viene infettato da Virlock che quindi cripta ed infetta i file sul PC di A e sulla cartella Dropbox. Quando B tenterà di aprire i file nella cartella Dropbox verrà infettato anche lui.
Simpaticamente, se così si può dire, Virlock non chiede espressamente un riscatto bensì si finge l’FBI che ha appena commissionato una multa per utilizzo di software pirata.