5 febbraio 2018

I trojan cryptolocker che cifrano file conservati su un dispositivo infetto e chiedono il riscatto per la decifratura, come in precedenza, sono un grave rischio. L'azienda Doctor Web mette in guardia dalla diffusione di un nuovo simile malware.

Il trojan chiamato dai suoi creatori "GandCrab!" è stato aggiunto ai database dei virus Dr.Web sotto il nome di Trojan.Encoder.24384. Attribuisce ai file cifrati l'estensione *.GDCB. Al momento sono conosciute due versioni di questo cryptolocker.

Dopo essersi avviato su un dispositivo con Microsoft Windows sotto attacco, Trojan.Encoder.24384 può raccogliere informazioni sulla presenza di processi degli antivirus in esecuzione. Quindi, dopo aver eseguito un controllo per impedire un suo avvio ripetuto, il malware termina forzatamente processi dei programmi secondo una lista definita dagli autori dei virus. Dopo aver installato una sua copia su disco, il malware modifica un ramo del registro di sistema di Windows per assicurare il suo avvio automatico.

Il cryptolocker cifra il contenuto dei dischi fissi, rimovibili e delle unità di rete, ad eccezione di alcune cartelle, tra cui ci sono quelle di servizio e di sistema. Ciascun disco viene cifrato in un thread separato. Una volta finita la cifratura, il trojan invia su un server informazioni circa il numero di file criptati e il tempo speso per la cifratura.

Il trojan utilizza un server di gestione il cui nome a dominio non viene risolto con i metodi standard. Per ottenere l'indirizzo IP di questo server, il cryptolocker esegue il comando nslookup e cerca le informazioni richieste nel suo output.

Al momento non è possibile decriptare file criptati da Trojan.Encoder.24384. L'azienda Doctor Web di nuovo ricorda agli utenti che il metodo più affidabile per salvaguardare il propri file è la tempestiva copiatura di backup di tutti i dati importanti, mentre per la conservazione dei backup è preferibile utilizzare supporti di memorizzazione esterni.

Informazioni sul trojan