Torna alla lista delle notizie
16 aprile 2018
Il nuovo trojan cryptolocker è stato denominato Trojan.Encoder.25129. La Protezione preventiva di Antivirus Dr.Web rileva automaticamente questo trojan sotto il nome DPH:Trojan.Encoder.9. Dopo l'avvio esso controlla la posizione geografica dell'utente in base all'indirizzo IP del dispositivo infetto. Secondo l'idea malintenzionati, il trojan non dovrebbe cifrare file se l'indirizzo IP è locato in Russia, Bielorussia o Kazakistan, e inoltre se nelle impostazioni del sistema operativo sono definiti la lingua russa e i parametri regionali russi. A causa di un errore nel codice però il cryptolocker cifra file a prescindere dalla posizione geografica dell'indirizzo IP.
Trojan.Encoder.25129 cripta il contenuto delle cartelle dell'utente corrente, del Desktop di Windows, nonché delle cartelle di servizio AppData e LocalAppData. La cifratura viene effettuata con l'uso degli algoritmi AES-256-CBC, ai file cifrati viene attribuita l'estensione .tron. Non vengono cifrati i file più grandi di 30000000 di byte (circa 28,6 MB). Dopo aver completato la cifratura, il trojan crea il file %ProgramData%\\trig e scrive in esso il valore «123» (se tale file esiste già, la cifratura non viene eseguita). Quindi il cryptolocker invia una richiesta sul sito iplogger di cui l'indirizzo è trascritto nel suo corpo. In seguito il programma malevolo visualizza una finestra con una richiesta del riscatto.
La dimensione del riscatto chiesto dai malintenzionati varia da 0,007305 a 0,04 Btc. Con il clic sul pulsante HOW TO BUY BITCOIN il trojan visualizza una finestra con le istruzioni per l'acquisto della criptovaluta Bitcoin:
Sebbene nelle richieste del riscatto i malfattori assicurino le vittime che loro saranno in grado di recuperare i file criptati, il recupero non è possibile nella maggior parte dei casi a causa di un errore presente nel codice del trojan.
Gli utenti di Dr.Web sono protetti dalle attività di questo cryptolocker in quanto la protezione preventiva dei nostri prodotti antivirus lo rileva e rimuove con successo. Ciononostante, gli specialisti dell'azienda Doctor Web vi ricordano che è necessario effettuare un backup tempestivo di tutte le informazioni importanti.
Affinché un trojan non rovini i file, utilizzate la prevenzione della perdita di dati
Pronti per i cryptolocker! | Presentazioni su configurazione | Decifratura gratuita |
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti