{"id":8974,"date":"2016-04-15T12:12:26","date_gmt":"2016-04-15T10:12:26","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=8974"},"modified":"2016-04-15T12:12:26","modified_gmt":"2016-04-15T10:12:26","slug":"g-data-avvisa-il-nuovo-ransomware-manamecrypt-usa-vettori-di-infezione-non-convenzionali-e-blocca-noti-antivirus","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2016\/04\/15\/g-data-avvisa-il-nuovo-ransomware-manamecrypt-usa-vettori-di-infezione-non-convenzionali-e-blocca-noti-antivirus\/","title":{"rendered":"G DATA avvisa: il nuovo ransomware Manamecrypt usa vettori di infezione non convenzionali e blocca noti antivirus"},"content":{"rendered":"

Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi.<\/em>
\n\"Logo-Claim-2015-3c-highres\"<\/a><\/p>\n

I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in \u201cbundle\u201d con software altrimenti legittimi e viene installato insieme all\u2019applicazione manipolata. Le soluzioni G DATA riconoscono e rimuovono questo malware.<\/strong><\/p>\n

\"csm_manamecrypt_locked_01_anonym_430746d965\"<\/a><\/p>\n

Vettore di infezione e attivit\u00e0 atipici<\/h2>\n

Ci\u00f2 che rende Manamecrypt fondamentalmene differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, \u00e8 che il campione analizzato non si diffonde tramite mail o exploit kit bens\u00ec attraverso software legittimi, pu\u00f2 quindi essere classificato come classico trojan. Il bundle consiste di un client \u00b5Torrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con s\u00e9 la componente nociva \u201con top\u201d.<\/p>\n

Anche il comportamento del malware una volta installato \u00e8 differente da altri ransomware, tra cui Locky<\/a>,Petya<\/a> o Teslacrypt<\/a>, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati.<\/p>\n

Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:<\/p>\n

\"manamecrypt_block_exe_01\"<\/a><\/p>\n

Interessanti anche le stringhe colpite dal ransomare:<\/p>\n

\"Catturamanamecrypt\"<\/a><\/p>\n

Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l\u2019articolo completo sul G DATA SecurityBlog: https:\/\/blog.gdatasoftware.com\/2016\/04\/28234-manamecrypt-a-ransomware-that-takes-a-different-route<\/a><\/p>\n

Come prevenire infezioni<\/strong><\/p>\n