Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi.
I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in “bundle” con software altrimenti legittimi e viene installato insieme all’applicazione manipolata. Le soluzioni G DATA riconoscono e rimuovono questo malware.
Vettore di infezione e attività atipici
Ciò che rende Manamecrypt fondamentalmene differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, è che il campione analizzato non si diffonde tramite mail o exploit kit bensì attraverso software legittimi, può quindi essere classificato come classico trojan. Il bundle consiste di un client µTorrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con sé la componente nociva “on top”.
Anche il comportamento del malware una volta installato è differente da altri ransomware, tra cui Locky,Petya o Teslacrypt, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati.
Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:
Interessanti anche le stringhe colpite dal ransomare:
Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l’articolo completo sul G DATA SecurityBlog: https://blog.gdatasoftware.com/2016/04/28234-manamecrypt-a-ransomware-that-takes-a-different-route
Come prevenire infezioni
- Installare una soluzione di sicurezza che include uno scanner anti-malware e tecnologie proattive per l’identificazione di minacce sconosciute
- Il software dovrebbe essere scaricato esclusivamente dalla pagina ufficiale dei rispettivi produttori
- E’ importante effettuare regolarmente backup di documenti e dati importanti
- Le applicazioni installate vanno aggiornate rapidamente, non appena è disponibile l’aggiornamento da parte del produttore
- Esaminare con cautela le email ricevute da sconosciuti.