16 novembre 2012

Il team di Doctor Web — società russa per la sicurezza informatica — avverte della diffusione di un nuovo ransomware, nominato Trojan.Winlock.7372, appartenente alla famiglia ben nota Trojan.Winlock. Questo trojan è diverso dagli altri malware di questo genere perché non contiene dentro di sé alcuni testi o immagini del ricatto, ma li scarica sulla macchina dal web. Gli utenti puntati dal trojan si trovano fuori della Russia.

I primi ransomware orientati agli utenti in altri paesi del mondo si sono diffusi nell’autunno del 2011. Fino a quel momento questo genere del percepire redditi illegali si applicava con successo nella Russia. Anche Trojan.Winlock.7372, il cui metodo di propagazione si appoggia sulla famiglia di malware BackDoor.Umbra, punta verso i computer degli utenti stranieri (anche se si sospetta che il programma sia stato sviluppato dagli hacker russi). La struttura interna di Trojan.Winlock.7372 è completamente diversa da quella degli altri ransomware. Innanzitutto perché il trojan non include immagini, testi o altre risorse che di solito vengono mostrate agli utenti sullo schermo della macchina bloccata. Il trojan scarica tutto l’occorrente dal server remoto, e la schermata che comunica il testo del ricatto è una pagina web.

Una volta avviato sulla macchina infetta, Trojan.Winlock.7372 si trascrive nel ramo del registro di sistema che soprintende all’esecuzione automatica dei programmi e poi comincia a cercare e fermare i processi di una seria di applicazioni e utility di sistema, tra cui: Task manager, Blocco note, Editor del Registro, Prompt dei comandi, Configurazione del sistema, Microsoft Internet Explorer, Google Chrome, Firefox, Opera, ProcessHacker, Process Monitor e alcuni altri programmi. Utilizzando un metodo abbastanza raro, il trojan disattiva il firewall in esecuzione sul computer infetto. Quindi Trojan.Winlock.7372 crea una finestra a schermo intero invisibile, in cui carica dal server dei malintenzionati una pagina web che richiede un pagamento al fine di rilasciare il PC tenuto in ostaggio.

L’importo di ricatto è $200, il codice di conferma del pagamento si invia al server dei malintenzionati tramite la rete. Se si cerca di entrare sul server di comando, il browser visualizza una finestra di login per autorizzarsi nel sistema di amministrazione della rete dei trojan, utilizzando il quale i malintenzionati possono seguire la propagazione di Trojan.Winlock.7372 e modificare le sue impostazioni.

La definizione di questa minaccia è stata inserita nelle basi di dati dei virus Dr.Web.