googletag.pubads().definePassback('/4143769/channelcity-sfondo', [1, 1]).display();

Filecoder.NFR, il nuovo ransomware che finge di essere Google Chrome

E' stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che finge di essere il file necessario a eseguire il browser Chrome di Google.

Mercato
E' stato rilevato dai ricercatori di ESET con il nome di Win32/Filecoder.NFR il nuovo ransomware che si distingue dagli altri perchè finge di essere il file necessario a eseguire il browser Chrome di Google.
Win32/Filecoder.NFR
funziona come un 'ransomware as a Service' (RaaS) collegato a un server nascosto nella rete TOR (acronimo di The Onion Router, necessario per navigare nel Deep Web). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo.
I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.
Secondo i dati di Live Grid, la tecnologia Cloud di ESET che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.
Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema.
Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.
Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.
Un altro dettaglio degno di nota che differenzia Filecoder.NFR da altre minacce simili è la sua
grande dimensione, circa 45 MB, a dispetto delle dimensioni usualmente piccole dei ransomware.
Questo probabilmente poiché Filecoder.NFR cerca di ingannare l'utente fingendo le stesse dimensioni del file originale.Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l'uso di altri Trojan-Downloader o di backdoor.I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
Quest'ultima viene crittografata usando l'algoritmo RSA e viene ottenuta una chiave pubblica dal server C2 durante la prima comunicazione.
Per maggiori informazioni su Filecoder.NFR è possibile visitare il blog WeLiveSecurity di ESET al linkhttp://www.welivesecurity.com/2016/01/08/ransom32-new-filecoder-in-sight/
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ChannelCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo del canale ICT

Iscriviti alla newsletter

statistiche