Ransomware MarsJoke: conto alla rovescia per pagare il riscatto

Ransomware MarsJoke: conto alla rovescia per pagare il riscatto

Prende di mira istituzioni pubbliche negli USA, e minaccia di criptare per sempre i file se non si paga il riscatto entro 96 ore. Diffuso tramite una campagna di email scam

di pubblicata il , alle 10:41 nel canale Sicurezza
 

Una nuova tipologia di ransomware sta prendendo di mira agenzie governative ed istituti scolastici negli Stati Uniti, sfruttando email di scam che si fingono portatrici di comunicazioni importanti.

Il malware, battezzato "MarsJoke" dai ricercatori di sicurezza di Proofpoint, è stato diffuso con una campagna email su larga scala avviata la scorsa settimana. Gli sviluppatori del cryptomalware hanno inviato email che sono mascherate come una comunicazione proveniente da una compagnia aerea e che si riferisce al tracciamento di una fantomatica spedizione, spingendo l'utente a cliccare su un link. Una volta aperto il link si viene reindirizzati al download di un eseguibile chiamato file_6.exe, il quale se avviato va ad attivare il ransomware MarsJoke.

Una volta che il malware ha compiuto le sue operazioni di cifratura, va a creare una serie di file del tipo "!!! For Decrypt !!!.bat", "!!! Readme For Decrypt !!!.txt", e "ReadMeFilesDecrypt!!!.txt" che vengono sparpagliati in varie posizioni sul sistema della vittima. I file criptati mantengono la propria estensione, mentre durante il processo di cifratura appaiono anche file con estensione .a19 e .ap19 che vengono però rimossi una volta che l'operazone è conclusa.

Il desktop dell'utente viene modificato, con un messaggio minaccioso che comunica che i file sono stati cifrati. Viene inoltre mostrato un conto alla rovescia di 96 ore, ovvero il tempo che resta alla vittima prima che i file rimangano criptati in maniera permanente. Il riscatto richiesto per lo sblocco dei file è di 0,7 bitcoin, pari a circa 420$/380€.

Come accade nel caso di altri ransomware, MarsJoke cerca di intimorire l'utente affermando che qualsiasi azione diversa dal pagare il riscatto avrà come esito la perdita irrimediabile dei file. Per dimostrare che i file possono essere davvero decriptati, MarsJoke permette inoltre di sbloccare gratuitamente due file. Infine gli autori del malware hanno anche incluso una serie di istruzioni che spiegano all'utente in quale modo sia possibile procurarsi Bitcoin.

Le agenzie governative e le istituzioni pubbliche sembrano essere diventate da qualche tempo il bersaglio preferito dagli autori di ransomware, come già avevamo constatato qualche mese fa nel caso delle cliniche della zona di Baltimora, negli USA. E il motivo è facilmente intuibile, trattandosi di una convergenza di fattori molto favorevoli per i criminali: da un lato le infrastrutture tecnologicamente deboli (sia in termini di sicurezza, sia in termini di procedure e soluzioni per il backup di dati), dall'altro la presenza di informazioni e dati di valore e fondamentali per le attività lavorative quotidiane delle vittime.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
inkpapercafe28 Settembre 2016, 11:13 #1
"Si viene indirizzati ad un eseguibile che, SE AVVIATO..."

Siamo nel 2016 ed ancora....
Axios200628 Settembre 2016, 12:34 #2
Esiste la versione Linux o ChromeOS del virus?

Se no, sono hacker razzisti.
zbear28 Settembre 2016, 15:06 #3
Originariamente inviato da: Axios2006
Esiste la versione Linux o ChromeOS del virus?

Se no, sono hacker razzisti.


Tra l'altro una roba del genere potrebbe anche essere multipiattaforma
Certo, l'installato di Windows fa gola, ma anche Android .....
cerbert28 Settembre 2016, 15:30 #4
email che sono mascherate come una comunicazione proveniente da una compagnia aerea e che [U]si riferisce al tracciamento di una fantomatica spedizione, spingendo l'utente a cliccare su un link.[/U]


Ammazza oh, che fantasia questi hacker!
Ma che siamo, ancora nel 2001? C'è gente che ancora ci casca?
zbear28 Settembre 2016, 15:41 #5
Originariamente inviato da: ambaradan74
.... esistono gli eseguibili.

Dovrebbero iniziare a eliminare gli exe e farti passare dagli store.


Eliminiamo anche i .com e tutto l'eseguibile? C'è ne è una frotta di software facilmente eseguibile.
ziobepi28 Settembre 2016, 15:42 #6
La gente non riesce ad accettare
che non esistano motivi tecnici che rendano piu' insicuro Windows di Linux
fano28 Settembre 2016, 16:59 #7
Il problema non sono gli .exe in se stessi, ma i permessi! Come è possibile che un programma della fava abbia il permesso di cifrare tutto C:? Perché il sistema operativo non lo manda a spigolare?

La maggioranza del disco IMHO dovrebbe essere read-only...
zbear28 Settembre 2016, 17:12 #8
Originariamente inviato da: fano
Il problema non sono gli .exe in se stessi, ma i permessi! Come è possibile che un programma della fava abbia il permesso di cifrare tutto C:? Perché il sistema operativo non lo manda a spigolare?

La maggioranza del disco IMHO dovrebbe essere read-only...


Non criptano "tutto". Solo i tuoi documenti, gli stessi che puoi scrivere/leggere/editare normalmente. E' li il trucco .....
E dappertutto, linux e OSX compresi, se il software lo lanci tu il sistema lo esegue .....
Varg8728 Settembre 2016, 22:15 #9
Originariamente inviato da: fano
Il problema non sono gli .exe in se stessi, ma i permessi! Come è possibile che un programma della fava abbia il permesso di cifrare tutto C:? Perché il sistema operativo non lo manda a spigolare?

La maggioranza del disco IMHO dovrebbe essere read-only...


Forse perchè tutti quelli che si prendono ste schifezze usano il sistema con l'account amministratore anche quando non serve, magari senza password e UAC disabilitato o al minimo perchè dà fastidio.
In ogni caso non capisco nemmeno io come si possa cadere in ste trappole nel 2016.

File_6.exe?!
Io comincierei a detrarre i soldi dei danni causati all'azienda dallo stipendio di chi ha creato il danno, poi vedi se non impara a controllare prima di aprire file a caso.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^