Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nuovo ransomware dalla famiglia Trojan.Winlock minaccia utenti stranieri

16 novembre 2012

Il team di Doctor Web — società russa per la sicurezza informatica — avverte della diffusione di un nuovo ransomware, nominato Trojan.Winlock.7372, appartenente alla famiglia ben nota Trojan.Winlock. Questo trojan è diverso dagli altri malware di questo genere perché non contiene dentro di sé alcuni testi o immagini del ricatto, ma li scarica sulla macchina dal web. Gli utenti puntati dal trojan si trovano fuori della Russia.

I primi ransomware orientati agli utenti in altri paesi del mondo si sono diffusi nell’autunno del 2011. Fino a quel momento questo genere del percepire redditi illegali si applicava con successo nella Russia. Anche Trojan.Winlock.7372, il cui metodo di propagazione si appoggia sulla famiglia di malware BackDoor.Umbra, punta verso i computer degli utenti stranieri (anche se si sospetta che il programma sia stato sviluppato dagli hacker russi). La struttura interna di Trojan.Winlock.7372 è completamente diversa da quella degli altri ransomware. Innanzitutto perché il trojan non include immagini, testi o altre risorse che di solito vengono mostrate agli utenti sullo schermo della macchina bloccata. Il trojan scarica tutto l’occorrente dal server remoto, e la schermata che comunica il testo del ricatto è una pagina web.

Una volta avviato sulla macchina infetta, Trojan.Winlock.7372 si trascrive nel ramo del registro di sistema che soprintende all’esecuzione automatica dei programmi e poi comincia a cercare e fermare i processi di una seria di applicazioni e utility di sistema, tra cui: Task manager, Blocco note, Editor del Registro, Prompt dei comandi, Configurazione del sistema, Microsoft Internet Explorer, Google Chrome, Firefox, Opera, ProcessHacker, Process Monitor e alcuni altri programmi. Utilizzando un metodo abbastanza raro, il trojan disattiva il firewall in esecuzione sul computer infetto. Quindi Trojan.Winlock.7372 crea una finestra a schermo intero invisibile, in cui carica dal server dei malintenzionati una pagina web che richiede un pagamento al fine di rilasciare il PC tenuto in ostaggio.

screen

L’importo di ricatto è $200, il codice di conferma del pagamento si invia al server dei malintenzionati tramite la rete. Se si cerca di entrare sul server di comando, il browser visualizza una finestra di login per autorizzarsi nel sistema di amministrazione della rete dei trojan, utilizzando il quale i malintenzionati possono seguire la propagazione di Trojan.Winlock.7372 e modificare le sue impostazioni.

screen

La definizione di questa minaccia è stata inserita nelle basi di dati dei virus Dr.Web.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A