Ransom32, il ransomware che si finge Chrome, chiede soldi e spaventa l'Italia

[globi]

Sul PC di mio padre l`Avira gratuito bloccò il Cryptolocker e lo mise in quarantena, mi pare successe durante l`anno scorso, non so però che versione di Cryptolocker fosse visto che ne esistono già alcune.

[frankie]

Ho sentito di GGente che è riuscita a far criptare i file condivisi nel server, alcuni che non riuscivano ad accedere ai ile consivisi in dropbox da utenti infetti e uno che affermava di essere al sicuro perchè ha i file neel clllaaauuuud con ggguuuuugggoool drive... Epic file ehm... fail!!!

HD esterno o backup desincronizzato, what else!!!

[skadex]

Sapete se l'infezione anche in questo caso passa attraverso i soliti percorsi? Intendo le cartelle appdata e localappdata?

In ogni caso che il fenomeno aumenti è normale visto che in molti stanno pagando.

[rattopazzo]

Quote:

Originariamente inviato da AlexBesson

Se ti si è autoinstallato del malware navigando su sito corrotto con exploit+shellcode dedicato per Javascript di quel tal Browser X che usavi per navigare sul web, deve poi essere uscito un aggiornamento di sicurezza del browser che usavi e su cui è andato in porto l'exploit, altrimenti si impesterebbero 1 miliardo di computer ogni giorno.
Ps: usavi account Admin o avevi UAC al minimo.
PPS: che browser era?

Stiamo parlando di 8 o più anni fa non ricordo esattamente come ero configurato allora...
il S.O. probabilmente era windows XP.
mentre il browser probabilmente explorer, non a caso poi sono passato a firefox+noscript e non ho più avuto tali problemi

[zappy]

Quote:

Originariamente inviato da rattopazzo

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.

Quoto!

[zappy]

Quote:

Originariamente inviato da rockroll

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?

beh, non è detto che ci voglia un'azione "da utonto". se c'è qualche componente bacato nel SO, può essere mandato in esecuzione codice senza nessuna interazione con l'utente/utonto.

[matsnake86]

Quindi per Mac e sistemi basati su linux è sufficiente disattivare JS.

Cosa buona e giusta a prescindere!

[PsychoWood]

Ma usando un'app web per la gestione della posta (anziché un client nativo), si è un po' più tutelati o no? Mi sembra strano che Gmail (tanto per dirne una) lasci passare del codice js in maniera così plateale...

[Cloud76]

Dipende dal filtro antispam...
Quello di Gmail in genere funziona bene, comunque anche io con indirizzo di libero trovo sempre queste mail nella cartella spam, non credo di averne mai viste nella posta in arrivo.

[AlexBesson]

Quote:

Originariamente inviato da zappy

beh, non è detto che ci voglia un'azione "da utonto". se c'è qualche componente bacato nel SO, può essere mandato in esecuzione codice senza nessuna interazione con l'utente/utonto.

Se ti arriva un allegato .pdf.js exploit in messaggio di posta elettronica da mittente sconosciuto/inquietante in un archizio .zip che tu poi a sua volta scarichi, decompatti e lanci facendo sopra al .pdf.js doppio click, su Windows viene invocato per l'apertuta del file .js exploit wscript.exe

Se wscript.exe (& relative sue .dll) ha una vulnerabilità ( Sistema Operativo senza patch/aggiornamenti di sicurezza), si esegue l'exploit+shellcode in area dati di wscript.exe ( sempre che DEP+ ASLR & SEHOP vengano bypassati) e va in porto quello che deve andare in porto ( sempre se stai con account Admin e UAC non settato al massimo) altrimenti non succede una bega.

[AlexBesson]

edit

[zappy]

Quote:

Originariamente inviato da AlexBesson

Se ti arriva un allegato .pdf.js exploit in messaggio di posta elettronica da mittente sconosciuto/inquietante in un archizio .zip che tu poi a sua volta scarichi, decompatti e lanci facendo sopra al .pdf.js doppio click, su Windows viene invocato per l'apertuta del file .js exploit wscript.exe

Se wscript.exe (& relative sue .dll) ha una vulnerabilità ( Sistema Operativo senza patch/aggiornamenti di sicurezza), si esegue l'exploit+shellcode in area dati di wscript.exe ( sempre che DEP+ ASLR & SEHOP vengano bypassati) e va in porto quello che deve andare in porto ( sempre se stai con account Admin e UAC non settato al massimo) altrimenti non succede una bega.

io mi riferivo a bug più seri.
tipo molti anni fa un bug di outlook express 4 mandava in esecuzione del codice semplicemnte scaricando la mail, perchè c'era un problema su come erano gestiti gli header delle mail. lì potevi essere un superhacker sgamatissimo, ma il malware te lo beccavi comunque in ogni caso.

qua non ho capito ancora come funziona 'sto ransom32....

[AlexBesson]

Quote:

Originariamente inviato da zappy

io mi riferivo a bug più seri.
tipo molti anni fa un bug di outlook express 4 mandava in esecuzione del codice semplicemnte scaricando la mail, perchè c'era un problema su come erano gestiti gli header delle mail. lì potevi essere un superhacker sgamatissimo, ma il malware te lo beccavi comunque in ogni caso.

qua non ho capito ancora come funziona 'sto ransom32....

In quel caso è stato necessario un aggiornamento del client di posta elettronica.( PS: con account Limitato non si beccava niente)

Per questo Ransom32 invece mi sono informato in rete, visto che gli articoli usciti sui vari siti in questi 2 giorni non spiegano niente nello specifico dietro a quale tipo di raggiro del niubbo di turno viene fatto scaricare... ovvero non capisco per quale utility o aggiornamento viene spacciato per incutere allo scarico sul computer + a doppiocliccarci sopra tramite solito social engineering.

Da un sito concorrente ad HwUpgrade ho ricavato questa informazione:

Quote:

I vettori di infezione sono i soliti: campagne di spam, siti compromessi,

Quindi prendiamo che arrivi in posta elettronica con una qualche balla di messaggio che inciti il niubbo a scaricare e doppiocliccare il file ( per chi usa la WebMail) o solo a doppiocliccare il file per chi usa il Client di posta elettonica POP3 che scarica già lui la mail col relativo allegato sull'Hard Disk ( che io nn uso piu' perchè mi trovo meglio con la WebMail su tutti i dispositivi che utilizzo ) dicevo dopo che l'utente è stato convinto in una qualche maniera, il file in questo caso puo' avere estensione o .scr ( screen-salvaschermo) o .rar o .zip etc

Qualora avesse estensione .scr, una volta lanciato con doppioclick dal niubbo, invoca Rar ( idem se fosse .rar e se fosse .zip invocherebbe il decompattatore Zip di sistema) e parte in autoestrazione tramite javascript sullo stesso sistema decompattando appunto tutti i files nella cartella Temp e procedendo poi all'installazione dove si spaccia per Chrome

tutto questo avviene tramite questo benedetto Framework NW.js

Quote:

So what is NW.js exactly? NW.js is essentially a framework that allows you to develop normal desktop applications for Windows, Linux and MacOS X using JavaScript. It is based upon the popular Node.js and Chromium projects. So while JavaScript is usually tightly sandboxed in your browser and can’t really touch the system it runs upon, NW.js allows for much more control and interaction with the underlying operating system, enabling JavaScript to do almost everything “normal” programming languages like C++ or Delphi can do. The benefit for the developer is that they can turn their web applications into normal desktop applications relatively easily. For normal desktop application developers it has the benefit that NW.js is able to run the same JavaScript on different platforms. So a NW.js application only needs to be written once and is instantly usable on Windows, Linux and MacOS X.
Another large benefit for the malware author is that NW.js is a legitimate framework and application.

come poi si installa con tutta la procedura in sequenza lo si è visto nel testo & link della news ....anche se qua è riassunto meglio a mio avviso:

https://blog.malwarebytes.org/intell...cious-package/


Appena ho tempo voglio approfondire questo NW.js

[skadex]

Ottimo articolo che finalmente chiarsice anche il mio dubbio; le cartelle interessate da ormai la totalità dei malware sono sempre le stesse a partire da appdata.
Pertanto al momento non è male utilizzare un bello script che blocchi l'esecuzione di eseguibili da quelle posizioni (o programmi tipo cryptoprevent o bitdefender anticryptowall).
Ovviamente un pò di buonsenso e i vari metodi già indicati sono sempre la miglior medicina.

[zappy]

Quote:

Originariamente inviato da AlexBesson

...

Quindi prendiamo che arrivi in posta elettronica con una qualche balla di messaggio che inciti il niubbo a scaricare e doppiocliccare il file ( per chi usa la WebMail) o solo a doppiocliccare il file per chi usa il Client di posta elettonica POP3 che scarica già lui la mail col relativo allegato sull'Hard Disk ( che io nn uso piu' perchè mi trovo meglio con la WebMail su tutti i dispositivi che utilizzo ) dicevo dopo che l'utente è stato convinto in una qualche maniera, il file in questo caso puo' avere estensione o .scr ( screen-salvaschermo) o .rar o .zip etc

Qualora avesse estensione .scr, una volta lanciato con doppioclick dal niubbo, invoca Rar ( idem se fosse .rar e se fosse .zip invocherebbe il decompattatore Zip di sistema) e parte in autoestrazione tramite javascript sullo stesso sistema decompattando appunto tutti i files nella cartella Temp e procedendo poi all'installazione dove si spaccia per Chrome

tutto questo avviene tramite questo benedetto Framework NW.js

continua a risultarmi oscuro.
un sito infetto può passarti un js (motivo per cui li tengo disattivati) ma cmq viene interpretato dal browser e non da altro.
se invece scarichi un file js sul desk e lo clicchi, viene avviato windows script host. è questo il componente buggato? non sembra.

'sto framework è un interprete alternativo a Win-script-host? ma allora si chiama "nw.js" ma non è un file .js, bensì un .exe, e va installato a parte e PRIMA...
articoli così servono solo a confondere le idee ed attirare nuovi lettori... prima confondono le idee con notizie allarmistiche, si mette in agitazione il mondo, poi si fa una serie di altri 50 articoli per cercare chi calmare tutti, e alla fine tutto si risolve in una bolla di sapone, e vien fuori magari che non c'era nessun rischio...

[AlexBesson]

Quote:

Originariamente inviato da zappy

continua a risultarmi oscuro.
un sito infetto può passarti un js (motivo per cui li tengo disattivati) ma cmq viene interpretato dal browser e non da altro.

Difatti in questo caso sarebbe una vulnerabilità del browser usato ( Firefox, Chrome, Opera, IE etc) che riceverà sicuramente poi un aggiornamento di sicurezza.
Non è questo il caso perche è solita ingegneria sociale a convincere il niubbo ad aprire il file allegato nella email che poi è il ransomware che si installa sul sistema e che se fosse con account non Amministratore non si installerebbe sempre che non digiti anche la password ed allora nn ci sono santi che tengano ( mi piacerebbe anche sapere quale balla hanno usato via messaggio email per convicerlo a farlo)

Quote:

Originariamente inviato da zappy

se invece scarichi un file js sul desk e lo clicchi, viene avviato windows script host. è questo il componente buggato? non sembra.

'sto framework è un interprete alternativo a Win-script-host? ma allora si chiama "nw.js" ma non è un file .js, bensì un .exe, e va installato a parte e PRIMA...
articoli così servono solo a confondere le idee ed attirare nuovi lettori... prima confondono le idee con notizie allarmistiche, si mette in agitazione il mondo, poi si fa una serie di altri 50 articoli per cercare chi calmare tutti, e alla fine tutto si risolve in una bolla di sapone, e vien fuori magari che non c'era nessun rischio...

Non ci ho capito una fava difatti ( non è un .exe) e devo approfondire pure io su quel Framework NW.js

Se qualcuno sa già qualcosa in merito da spiegare in 4 parole ...ben venga

[zappy]

Quote:

Originariamente inviato da AlexBesson

Difatti in questo caso sarebbe una vulnerabilità del browser usato ( Firefox, Chrome, Opera, IE etc) che riceverà sicuramente poi un aggiornamento di sicurezza.
Non è questo il caso perche è solita ingegneria sociale a convincere il niubbo ad aprire il file allegato nella email che poi è il ransomware che si installa sul sistema e che se fosse con account non Amministratore non si installerebbe sempre che non digiti anche la password ed allora nn ci sono santi che tengano ( mi piacerebbe anche sapere quale balla hanno usato via messaggio email per convicerlo a farlo)

vabbè, se arriva x mail un exe di 32 MEGA (!) e uno lo esegue...
(a parte che non scarico mai mail con allegati oltre qualche centinaio di kb)

Quote:

Non ci ho capito una fava difatti (non è un .exe) e devo approfondire pure io su quel Framework NW.js

se no è un exe (o scr ecc.) non vedo come possa essere eseguito e creare danni seri. mi sa di notizia-balla.

[zappy]

Quote:

Originariamente inviato da PsychoWood

Ma usando un'app web per la gestione della posta (anziché un client nativo), si è un po' più tutelati o no? Mi sembra strano che Gmail (tanto per dirne una) lasci passare del codice js in maniera così plateale...

imho meno.
perchè è sempre online e non firewallabile.
un client locale lo puoi impostare in modo moooooolto più sicuro.

[fracama87]

Quote:

Originariamente inviato da zappy

imho meno.
perchè è sempre online e non firewallabile.
un client locale lo puoi impostare in modo moooooolto più sicuro.

si ma sbaglio o usando il client web il malware dovrebbe bucare sia gmail sia il browser?
Inoltre con strumenti che bloccano gli script (noscript o ancora meglio umatrix) questo codice non viene eseguito se tu non lo abiliti. Sbaglio?

Imho è molto molto più sicuro il client web.

[zappy]

Quote:

Originariamente inviato da fracama87

si ma sbaglio o usando il client web il malware dovrebbe bucare sia gmail sia il browser?
Inoltre con strumenti che bloccano gli script (noscript o ancora meglio umatrix) questo codice non viene eseguito se tu non lo abiliti. Sbaglio?

Imho è molto molto più sicuro il client web.

no.
la casella di posta che la consulti via web o via pop, ha comunque lo stesso tipo di filtraggio antivirus/antispam. Se il virus viene individuato viene rimosso dalla casella punto. non c'entra nulla il modo in cui tu la vai a guardare.

inoltre nel caso passasse i controlli del provider (gmail o libero o chi vuoi) e lo script rimanesse nella mail, sarebbe comunque uno script sotto dominio gmail o libero ecc, per cui andrebbe in esecuzione con tutto il resto degli script che fanno funzionare il client web 8che non puoi bloccare altrimenti non funziona il client web.

inoltre se il JS va in esecuzione, può accedere a qualunque server su internet liberamente.

viceversa su un client locale:
- l'html viene "bonificato"
- puoi mettere il client offline prima di aprire mail sospette
- puoi firewallarlo in modo che acceda solo ed esclusivamente al provider di posta e solo sulle porte della posta (no http, no ftp ecc) per cui anche fosse eseguito poi non può "uscire" a scaricare altri pezzi o ricevere "istruzioni".