: Scopri i vincitori di Italian Channel Awards 2025
Filecoder.NFR, il nuovo ransomware che finge di essere Google Chrome
Redazione ChannelCity E' stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che finge di essere il file necessario a eseguire il browser Chrome di Google.
E' stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che si distingue dagli altri perchè finge di essere il file necessario a eseguire il browser Chrome di Google.
Win32/Filecoder.NFR funziona come un 'ransomware as a Service' (RaaS) collegato a un server nascosto nella rete TOR (acronimo di The Onion Router, necessario per navigare nel Deep Web). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo.
I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.
Secondo i dati di Live Grid, la tecnologia Cloud di ESET che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.
Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema.
Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.
Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.
Un altro dettaglio degno di nota che differenzia Filecoder.NFR da altre minacce simili è la sua grande dimensione, circa 45 MB, a dispetto delle dimensioni usualmente piccole dei ransomware.
Questo probabilmente poiché Filecoder.NFR cerca di ingannare l'utente fingendo le stesse dimensioni del file originale.Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l'uso di altri Trojan-Downloader o di backdoor.I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
Quest'ultima viene crittografata usando l'algoritmo RSA e viene ottenuta una chiave pubblica dal server C2 durante la prima comunicazione.
Per maggiori informazioni su Filecoder.NFR è possibile visitare il blog WeLiveSecurity di ESET al linkhttp://www.welivesecurity.com/2016/01/08/ransom32-new-filecoder-in-sight/
Win32/Filecoder.NFR funziona come un 'ransomware as a Service' (RaaS) collegato a un server nascosto nella rete TOR (acronimo di The Onion Router, necessario per navigare nel Deep Web). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo.
I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.
Secondo i dati di Live Grid, la tecnologia Cloud di ESET che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.
Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema.
Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.
Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.
Un altro dettaglio degno di nota che differenzia Filecoder.NFR da altre minacce simili è la sua grande dimensione, circa 45 MB, a dispetto delle dimensioni usualmente piccole dei ransomware.
Questo probabilmente poiché Filecoder.NFR cerca di ingannare l'utente fingendo le stesse dimensioni del file originale.Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l'uso di altri Trojan-Downloader o di backdoor.I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
Quest'ultima viene crittografata usando l'algoritmo RSA e viene ottenuta una chiave pubblica dal server C2 durante la prima comunicazione.
Per maggiori informazioni su Filecoder.NFR è possibile visitare il blog WeLiveSecurity di ESET al linkhttp://www.welivesecurity.com/2016/01/08/ransom32-new-filecoder-in-sight/
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 14
V-Valley - Evento A10 Roma
Mag 14
Arrow - Oltre l'MDM: La tua Difesa Mobile italiana nell’era della sovranità digitale
Mag 14
AI applicata al Retail: Conoscenza aziendale che genera vendite e ROI
Mag 14
V‑Valley e Acronis per gli MSP: più servizi, un'unica soluzione
Mag 14
Novità Microsoft 365 E7: Copilot, Agenti AI e Sicurezza
Mag 14
Data³ Meets Sales Update - Milano
Mag 18
Corso tecnico DataCore SWARM Administration plus Advanced Topics and DCIE Development
Mag 19
Esprinet - Evento Dell Tech Rally Mobile
Mag 19
Lunch & Learn Cybersecurity & Compliance con Kaspersky
Magazine Tutti i numeri
G11 Media Networks
ChannelCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
