Locky Odin

Il lato nordico del ransomware Locky con Odino…

I file delle vittime del ransomware Locky hanno ora l’estensione “.odin”, con oltre duecento nuovi tipi di file pronti per essere crittografati.

Odino è uno dei personaggi principali della mitologia nordica a cui erano affidati diversi compiti, dalla scrittura delle rune a poteri curativi. A lui spettava decidere la sorte dei caduti in battaglia, portando metà di questi nella schiera degli Einherjar, dove potevano continuare a far baldoria con le valchirie e prepararsi alle battaglie successive.

L’ultima versione del ransomware Locky non si limita a passare in rassegna i file nel computer delle nuove vittime e a crittografarli, ma con Odino ne prende anche più del 50%.

“La vera differenza sta nel fatto che hanno aggiunto altri 256 tipi di file. Cambiare il nome dell’estensione da “.zepto” a “.odin” è solo una questione estetica”, afferma Moritz Kroll, specialista in malware presso l’Avira Protection Lab. “Con la crittografia di una gamma di file più vasta, aumentano le probabilità che la vittima paghi il ransomware.”.

I nuovi tipi di file sono creati per trarre in inganno chiunque, dai gamer agli amanti del cinema, a chi possiede un’attività, e persino ai malware analyst. Ecco i dettagli di alcune categorie di utenti selezionate da Avira:

Gamer: appassionati del gioco Doom di id Software, con l’estensione “.wad” per i file dei dati di gioco.

Amanti del cinema: chi ama guardare i film con i sottotitoli. Locky è proprio a caccia di questi file di sottotitolaggio con estensione “.srt”.

Piccole aziende: il software per la gestione della contabilità QuickBooks di Intuit, con i suoi file “.qba” e “.qbm”.

Fan dei software gratuiti: persone che usano la suite di Open Office al posto di Microsoft Office, mentre quei malintenzionati aggiungono “.odf” ai file. Gli altri formati di OpenOffice erano già supportati nella versione precedente.

Graficomani e graficomane: chi fa uso di file Corel Draw con l’estensione “cdr” e del programma gratuito Blender 3D per la creazione di render. Su questi file trascorrono DAVVERO delle ore e quindi sarebbe davvero un peccato perderli.

Analisti di malware: ebbene sì, anche questi tipi scrupolosi che utilizzano macchine virtuali per la loro ricerca, con file per programmi come QEMU, VirtualBox e VirtualPC.

“Analizzando da cima a fondo la lista si rischierebbe di perdersi nei dettagli”, continua Kroll. “La questione principale è che i cattivi questa volta hanno ordito una tela ancora più sottile per catturare più file. La sola speranza di non essere colpiti quando si utilizza un tipo di file oscuro o programmi alternativi a Windows non basta.”


ARTICOLO CORRELATO

https://blog.avira.com/it/5-suggerimenti-per-non-cadere-vittima-dei-ransomware/


https://www.virustotal.com/en/file/86d229d219a21ab8092839a4361d30977e56c78f0ada10b6d68363b2834dd1dc/analysis/

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.