Nuovo alert virus. Come la genetica, anche l’informatica muta ed evolve le proprie capacità. In questo caso, fraudolente. Una nuova variante del ransomware Rakhni (nome completo ‘Trojan-Ransom.Win32.Rakhni’) – noto dal 2013 – è stato infatti individuato dai ricercatori di Kaspersky Lab che avvertono sulla sua nuova funzionalità, il mining di criptovalute. Ovvero, il malware decide sulla base delle caratteristiche del Pc colpito “se attivare la funzionalità di cifratura dei file, tipica dei ransomware (virus che poi chiedono un riscatto per essere disattivati, ndr) o quella per l’estrazione di diversi tipi di criptovalute”. In sostanza, se prendersi gli eventuali Bitcoin presenti nel computer.
Questo malware, avvertono gli esperti del CERT – Computer Emergency Response Team, “viene distribuito prevalentemente attraverso campagne di email di spam con allegati malevoli”, “per lo più in Russo” e con “allegato un file di Microsoft Word (estensione .docx) che a sua volta presenta al suo interno quello che appare come un documento PDF embedded. Se la vittima fa incautamente doppio clic sull’icona del documento – si legge – invece di aprire un file PDF lancia un eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione”.
DOVE – Secondo quanto riportato da Kaspersky, il Paese più colpito è la Russia (95,57%) “seguito da Kazakistan (1,36%), Ucraina (0,57%), Germania (0,49%) e India (0,41%). Altri Paesi europei, tra cui l’Italia, sono coinvolti in misura ancora minore”.
COME – “Il trojan decide se scaricare il ransomware o il miner a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin”. Se esiste “viene scaricato il modulo per la cifratura. Se la cartella non esiste e la macchina è equipaggiata con un processore con almeno due core logici, viene scaricato il modulo per il mining”. Se nessuna delle due circostanze si verifica, “viene attivata la funzionalità di worm: il trojan tenta di copiare sé stesso su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa”.
ANTIVIRUS – Dopo aver “verificato la presenza di processi in esecuzione relativi a prodotti antivirus”, se nel sistema non viene trovato alcun antivirus, “il trojan esegue una serie di comandi per disabilitare Windows Defender”. Comandi che “inviano email ad un indirizzo codificato al loro interno. Questi messaggi contengono varie statistiche sull’infezione e una serie informazioni tra cui: nome del computer; indirizzo IP della vittima; percorso del malware sul sistema; data e ora correnti; data di creazione del malware”. Ad ogni modo, ricordano gli esperti, “la capacità di individuazione di questa variante di Rakhni da parte dei più diffusi antivirus risulta molto elevata”.
Articolo pubblicato il giorno 8 Luglio 2018 - 22:27
Pubblicato il: 10/02/2025 21:55
Categoria: Cronaca di Napoli, Ultime Notizie
Un ritorno in corsia per dare una risposta all’emergenza sanitaria. A Napoli, tredici medici in pensione si sono presentati oggi...
Continua a leggere
Pubblicato il: 10/02/2025 21:42
Categoria: Cronaca, Ultime Notizie
I Carabinieri della stazione di Piazzolla di Nola hanno eseguito su disposizione del GIP del Tribunale di Roma una ordinanza...
Continua a leggere
Pubblicato il: 10/02/2025 21:23
Categoria: Calcio, Ultime Notizie
Torre Annunziata – Doveva essere una sfida per il primato nel campionato regionale Under 17, ma è finita in una...
Continua a leggere
Pubblicato il: 10/02/2025 20:57
Categoria: Cronaca di Napoli, Ultime Notizie
Anche Napoli ha celebrato oggi la giornale nazionale dell'epilessia. L'associazione "Napoli in vita" e tante altre hanno distribuito volantini in...
Continua a leggere
Pubblicato il: 10/02/2025 20:30
Categoria: Politica Napoli, Ultime Notizie
Da questa mattina, 61 studenti dell'Istituto tecnico per il turismo Giustino Fortunato di Napoli hanno cominciato il loro tirocinio presso...
Continua a leggere
