Locky in the Cloud with Ransomware

Un nuovo ransomware battezzato Locky è in circolazione: agisce crittografando i file delle vittime e chiedendo parecchie centinaia di euro di riscatto per decrittografarli.

La rivista tedesca Heise ha riportato ieri che solo tre soluzioni antivirus su 54 sono riuscite a rilevarlo e Avira non era una di queste. Vorremmo precisare che l’antivirus Avira non ha alcun problema a rilevare Locky. Oltre al rilevamento generico che risale alla fine del 2015, i programmi binari scaricati per il malware Locky vengono individuati anche dalle funzioni di rilevamento NightVision e AutoDump di Avira Protection Cloud (APC) anche se passano attraverso i rilevamenti delle nostre utilità di download JavaScript o Office.

“Locky non è riuscito a fare breccia nella nostra protezione cloud, lo abbiamo beccato molte volte nell’Avira Protection Cloud”, puntualizza Stefan Kurtzhals di Avira Protection Lab. “Questo è un buon esempio di come funzionino bene i metodi di rilevamento esclusivamente back-end, nei quali il malware viene analizzato e rilevato nell’Avira Cloud e non direttamente nel computer dell’utente, rispetto ai rilevamenti basati sulla firma specifica lasciata dal virus ed elencata in VirusTotal”.

Kurtzhals fa riferimento a Avira Protection Cloud (APC), la nostra tecnologia in-cloud per l’analisi e il rilevamento di minacce, parte integrante delle nostre soluzioni antivirus. Con Avira Protection Cloud, Avira può caricare i programmi binari potenzialmente pericolosi nel cloud per effettuarne l’analisi. Poiché il rilevamento avviene nel cloud back-end, i criminali informatici come gli autori di Locky non possono vedere direttamente come agiamo e non possono sfruttare i trucchi di offuscamento per eludere il rilevamento.

Dal punto di vista geografico Locky colpisce diverse aree. Da un solo campione Locky, Avira ha identificato i computer presi di mira in Germania, Inghilterra/Stati Uniti, Spagna, Italia e Paesi Bassi.

Locky è generalmente distribuito tramite un documento di Microsoft Word allegato a un’email. Se le macro di Office sono abilitate, l’installazione del malware inizia immediatamente all’apertura del documento. Se le macro sono disabilitate, il malware ricorda ai destinatari che è necessario abilitarle e quindi si mette al lavoro.

In seguito all’invio da parte di Locky di email Javascript, l’analisi dello script ha rivelato che sia Locky che Dridex utilizzano lo stesso offuscatore Javascript. Questo sembra indicare che entrambi usino lo stesso servizio FUD (fully-undetected) per l’invio di email indesiderate.

“Sebbene Avira sia in grado di rilevare questo malware, è importante che gli utenti ricorrano al buon senso e non clicchino su allegati sospetti”, fa notare Kurtzhals. “Questo infatti è il metodo più comune di diffusione di malware specifico, sia esso Locky o Dridex. Per questo motivo, prima di cliccare pensateci due volte”.

Questo articolo è disponibile anche in: IngleseTedescoFrancese