Bart, il ransomware che nasconde i tuoi file in archivi ZIP protetti da password

Bart, il ransomware che nasconde i tuoi file in archivi ZIP protetti da password

È stata diffusa la notizia di un nuovo tipo di ransomware che va a compromettere i file del nostro computer: l’infezione avviene tipicamente mediante email di spam, con varianti del testo anche in italiano.

I punti di contatto con il ransomware Locky sono numerosi: in quel caso il virus tendeva a diffondersi mediante documenti Word, andando a criptare i file della vittima e chiedendo un riscatto per sbloccarli. In questo caso, al posto di usare la crittografia il virus Bart crea degli archivi ZIP protetti da password casuali per ogni file di una certa dimensione minima e di un certo tipo, ad esempio video, documenti e foto. In questo modo al posto dei propri file l’utente troverà degli archivi in formato ZIP, impossibili da aprire se non conoscendo le password, per ottenere le quali è richiesto di pagare un riscatto su darknet (un sistema di pagamento non tracciabile).

BleepingComputer raccomanda di fare attenzione agli allegati di alcune email di spam, che contengano l’oggetto “Foto” con allegati come Photos.zip, Photo.zip, image.zip, or picture.zip. È inoltre possibile che siano diffuse varianti in italiano dello stesso virus, ed è importante che non vengano aperti gli allegati per nessun motivo: mediante un software malevolo (RocketLoader), installano ed eseguono codice Javascript e vanno ad infettare rapidamente il computer della vittima.

Le directory che vengono attaccate in Windows sono usualmente i seguenti:

tmp, winnt, Application Data, AppData, PerfLogs, Program Files (x86), Program Files, ProgramData, temp, Recovery, $Recycle.Bin, System Volume Information, Boot, Windows

mentre sono altresì note le estensioni esposte al rischio infezione (praticamente tutte le più comuni):

.n64, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi,
.asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk,
.vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z,
.rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg,
.tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp,
.cs, .brd, .sch, .dch, .dip, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf,
.mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sq, .SQLITEDB,
.SQLITE3, .asc, .lay6, .lay, .ms11(Security copy), .ms11, .sldm, .sldx,
.ppsm, .ppsx, .ppam, .docb, .mm, .sxm, .otg, .odg, .uop, .potx, .potm,
.pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123,
.wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm,
.xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm,
.docx, .DOT, .3dm, .max, .3ds, .xm, .txt, .CSV, .uot, .RTF, .pdf,
.XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key

La schermata che richiede il pagamento del riscatto è la seguente:

wallpaper

mentre il messaggio in italiano è questo:

!!! INFORMAZIONI IMPORTANTI !!! Tutti i file sono criptati.

Una volta infetti non c’è modo, al momento, di riuscire a recuperare i file zippati; l’unica cosa, in questi casi, è quella di attuare meccanismi preventivi come disporre di backup o copie dei file importanti su un dispositivo a parte (Hard disk esterno, pennino USB) sconnesso dalla rete e da tenere da parte per emergenze del genere (fonte).

Photo by christiaan_008

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Leggi articolo precedente:
Come risolvere “Errore nello stabilire una connessione al database”

Si tratta di uno degli errori più frequenti in WordPress, …

Chiudi