5856 Letture

Cryptolocker ha un figlio che attacca anche i videogiocatori

La nuova minaccia appena scoperta dai tecnici dei laboratori Bromium e da Emsisoft non ha quasi nulla a che vedere con il ransomware Cryptolocker, largamente noto, purtroppo, a molti italiani. Il codice di TeslaCrypt - questo il nome assegnato al malware recentemente isolato - è differente, in larga parte, rispetto a quello di Cryptolocker (è stato calcolato che le affinità riguardano appena l'8% del codice) ma anche in questo caso il ransomware (ransom in inglese significa riscatto) cifra alcuni file memorizzati sul sistema in uso chiedendo all'utente una somma in denaro per recuperarli.

Diversamente rispetto ai ben noti Cryptolocker, Torrentlocker, CryptoWall e così via (vedere Infezione da Cryptolocker e CryptoWall: dati in pericolo), TeslaCrypt "prende in ostaggio" i file collegati al funzionamento di alcuni popolari videogiochi.
Bersaglio dell'azione di TeslaCrypt, titoli ampiamente conosciuti di produttori come Steam, Valve, Electronic Arts e Bethesda.


Sebbene TeslaCrypt, una volta in esecuzione sul sistema, provveda a crittografare file legati ai più conosciuti videogiochi, non disdegna di bloccare - rendendoli illeggibili - documenti, immagini, file di iTunes, database, sorgenti software, file CAD e così via (la lista completa delle estensioni prese di mira dal ransomware è pubblicata in questa pagina).

Il ransomware non arriva via email ma si diffonde col caricamento di creatività Flash malevole

Diversamente rispetto a ransomware come Cryptolocker, Torrentlocker e CryptoWall, TeslaCrypt sembra non diffondersi via email. Il vettore d'infezione scelto dagli autori del malware sono pagine web contenenti creatività Flash malevoli.


Allo stato attuale sembra che siano bersagliati quei browser che consentono l'utilizzo della classe JavaScript ExternalInterface e, quindi di ActionScript: Internet Explorer (compresa la versione 11) ed Opera.
Utilizzando una recente vulnerabilità scoperta nel componente Flash Player ed una vecchia lacuna di sicurezza di Internet Explorer (ancor'oggi funzionante: CVE-2013-2551), viene poi provocata l'esecuzione del codice dannoso.

Una volta cifrati i file personali dell'utente, TeslaCrypt mostra una finestra simile alla seguente e richiede il versamento del riscatto.

Cryptolocker ha un figlio che attacca anche i videogiocatori

Come spiegato sul sito di Bromium al momento non è disponibile alcuno strumento per decodificare i dati personali cifrati dal ransomware.
Inoltre, TeslaCrypt provvede a cancellare tutte le "copie shadow" dei file impedendo all'utente il recupero di versioni precedenti degli stessi file.

Per evitare di correre rischi, è bene accertarsi di utilizzare l'ultima versione di Flash Player. Per verificarlo, è sufficiente visitare questa pagina tenendo presente che la release più aggiornata è al momento la 17.0.0.134.
TeslaCrypt, invece, sfrutta una vulnerabilità presente nella release 16.0.0.287 e precedenti.

  1. Avatar
    iblues
    17/03/2015 20:28:48
    Citazione: TeslaCrypt prende in ostaggio i file collegati al funzionamento di alcuni popolari videogiochi. ( Cliccate qui per consultare il testo completo.)
    Molto bene. Non bastava la rete intasata già da tutto e di più ( p2p file sharing , condivisione file ,anche da e verso Facebook, video calling, streaming,Upload e Download 'generico' ecc ecc) Per non parlare che nello specifico,l'Italia è dietro anche ai beduini,e la rete è al collasso già da tempo. . .adesso,si , ci mancavano anche i giocatori / videogiocatori!! (e seve tanta banda!) Posso dire che non mi dispiace? :adoro:
  2. Avatar
    Sampei Nihira
    17/03/2015 15:28:30
    Citazione: Quello che chiedi presuppone uno studio di un campione di TeslaCrypt. Cercherò di recuperare qualche informazione in più. Si parla comunque di due vulnerabilità che vengono contemporaneamente sfruttate. Almeno una delle due non avrebbe alcun impatto sugli utenti di Chrome e Firefox.
    Spero che Rmus (Exploit Analyst) che oltretutto è solito usare Opera 12 venga in mio aiuto........ :wink: Grazie Michele per la tua solerzia.
  3. Avatar
    Michele Nasi
    17/03/2015 15:20:21
    Quello che chiedi presuppone uno studio di un campione di TeslaCrypt. Cercherò di recuperare qualche informazione in più. Si parla comunque di due vulnerabilità che vengono contemporaneamente sfruttate. Almeno una delle due non avrebbe alcun impatto sugli utenti di Chrome e Firefox.
  4. Avatar
    Sampei Nihira
    17/03/2015 15:02:39
    Grazie Michele per l'articolo. :approvato: __________________________________ Non riesco a capire ancora. In parte per mia ignoranza ed anche in parte perchè non riesco ad aprire e quindi leggere il link External Interface. Sarebbe interessante sapere quali versioni di Opera ? Opera 28 ? Opera 12 ? E conoscere nel dettaglio le differenze con Chrome/Firefox.
Cryptolocker ha un figlio che attacca anche i videogiocatori - IlSoftware.it