Locky, arriva un nuovo Ransomware

Tempo di lettura:2 minuti[ratings]

Locky si diffonde tramite una macro ed è una delle nuove piaghe informatiche che stanno tristemente propagandosi. Ora tramite Microsoft Word.

Ne fa annuncio bleepingcomputer nel loro sito ufficiale, Lucky sfrutta la crittografia AES e riesce ad ottenere i privilegi per criptare i vostri dati sfruttando le macro di Microsoft Word. Con la credenza che virus, malware, ransomware e software dannosi si diffondano solamente tramite file eseguibili si può rischiare, aprendo il documento Word infetto, l’avvio di una macro che, di fatto, da il consenso allo scaricamento del ransomware vero e proprio. Il seguito è da copione: criptazione dei dati e richiesta di un pagamento per la decriptazione che, in questa “ondata” è di 0.5 bitcoin (circa 200 euro al momento della scrittura dell’articolo).

Le estensioni vittime di Lucky sono le seguenti:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, vob, .mpg, .wmv, .fla, .swf, wav, .qcow2, .vdi, .vmdk , .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, SVG, .bmp , .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, java, asp,. BRD, .sch, .dch, .dip, .vbs, .asm, .pas, cpp, .php, lDF, mdf, .ibd, .MYI, .MYD, .frm, .odb, dbf, mdb, sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (copia di sicurezza), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml,. SXM, .otg, .odg, .uop, potx, .potm, pptx, pptm, .std, .sxd, pot, pps, .sti, .sxi, .otp, .odp, .wks, xltx, xltm, xlsx, xlsm, .xlsb, .slk, xlw, .xlt, .xlm, xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, dotm , dotx, docm, docx, .DOT, .max, xml, txt, CSV, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott,. odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Una nota d’appunto per il file wallet.dat che, per chi non lo sapesse, è un file di Bitcoin Core dove risiedono i dati per accedere agli indirizzi bitcoin. Criptando tale file verrete esclusi dall’utilizzo degli eventuali bitcoin al suo interno.

I file con le estensioni citate qui sopra, verranno ignorati se sono all’interno di una delle seguenti cartelle:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Locky si occuperà anche di eliminare eventuali copie shadow create da Windows visto che, in alcuni casi, è possibile recuperare i file criptati

Avatar

Mirko Feriotti aka Ziomik

Profeta del Bitcoin sin dagli esordi e fermamente convinto sulle potenzialità della moneta decentralizzata.

Lascia un commento

Non perdere i nuovi articoli e le opportunità sulle criptovalute. Iscriviti alla newsletter!
Iscrizione
WP Twitter Auto Publish Powered By : XYZScripts.com