Possibili Evoluzioni di Virus e Malware

Cosa accadrà in futuro sul fronte della sicurezza consumer ?
Ecco le previsioni principali:
  • FBI/ICE MoneyPak;
  • Cryptolocker;
  • Applicazioni fasulle.

FBI/ICE MoneyPak

Durante l’ultimo anno abbiamo assistito ad alcune preoccupanti evoluzioni nel settore del ransomware.
FBI/ICE MoneyPak o Win32.Reveton hanno colpito pesantemente la community degli utenti PC.Pur essendo stato osservato inizialmente nel 2012, solo nel 2013 è stato modificato quel tanto da diventare uno dei ransomware più fastidiosi e difficili da eliminare. Una volta scaricato sul computer e lanciato in esecuzione sotto forma di allegato di posta, “video codec” o simili, questo codice elimina tutti i safe mode, chiude il task manager e mostra esclusivamente la schermata qui sopra.Diventa quindi impossibile lanciare qualsiasi applicazione come system restore o regedit dal momento che il ransomware ha effettuato l’hijack della shell Explorer. Molte di queste applicazioni si avviano anche nei nuovi account utente, pertanto l’unico metodo di rimozione possibile consiste nel fare boot da un disco con Linux per poi procedere all’eliminazione. Dal momento che questa tecnica è molto efficace (in particolare le varianti zero-day) contro la maggior parte degli antivirus, è probabile che si possa diffondere ulteriormente. Cambieranno i nomi e i tipici testi relativi a presunte “violazioni” predisposti per spaventare gli utenti, dato che man mano che le persone verranno a conoscenza delle minacce circolanti sarà davvero questione di poco aggiungere una nuova immagine e un nuovo testo per provarci ancora.

Cryptolocker 

Questo nuovo Cryptolocker che ha spaventato tutti non è uno scherzo. Una volta installato su un computer, questo ransomware consuma circa il 10% della potenza della CPU per criptare tutti i documenti presenti (*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpe, *.jpg, *.avi, *.mp3, *.wma, *.wmv, *.wav, *.divx, *.mp4, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c) senza farsene accorgere.
Una volta cifrati tutti i file residenti sull’hard disk locale e sui drive di rete mappati, appare la schermata qui sopra. A differenza delle versioni precedenti, che memorizzavano la chiave di decifrazione insieme con il codice, ora la chiave viene creata e conservata su un server remoto, ed è diversa per ciascuna infezione.
Questo non lascia praticamente alternative a meno di non possedere un backup o di aver salvato un punto di ripristino del sistema. Shadow Explorer è un tool che permette di ripristinare tutti i file salvati in un punto di ripristino mediante il servizio Volume Shadow Service integrato all’interno di Windows (solo le versioni Vista/7/8).Da notare, tuttavia, che funziona solamente con i file presenti sul medesimo hard disk del sistema operativo, pertanto se si sono persi file residenti su altri dischi secondari o dischi di rete non c’è altra scelta se non quella di pagare. Una crescente percentuale di esemplari di Cryptolocker osservati esegue (purtroppo) anche questo comando:
“C:\Windows\SYsWOW64\cmd.exe” /C “C:\Windows\Sysnative\vssadmin.exe” Delete Shadows /All /Quiet
eliminando qualunque speranza di poter usare strumenti come Shadow Explorer. Per il futuro ci si possono attendere tantissimi altri Cryptolocker con ulteriori trucchi per impedire il ripristino dei file e l’identificazione da parte degli antivirus.
Applicazioni fasulle
                                             
L’indicizzazione dell’hard disk mostra i file effettivamente esistenti Una foto dell’ufficio ripresa dalla webcam

 

Lo scorso anno sono stati registrati  enormi passi avanti da parte delle applicazioni fasulle. Non solo i loro autori hanno dedicato maggiore impegno per creare interfacce più realistiche, ma addirittura si sono premurati di riuscire a scattare fotografie degli utenti colpiti! In particolare, abbiamo scoperto alcuni che minacciavano di riprendere gli utenti tramite la webcam del computer a meno che non si fosse pagata una certa somma di denaro entro dieci minuti o giù di lì.Queste applicazioni sostenevano di aver “rilevato virus che hanno scattato queste fotografie per inviarle a utenti non autorizzati“, per quanto non sia stato poi registrato alcun traffico di rete successivamente all’installazione iniziale dei componenti. Per il futuro ci si può attendere una convergenza tra questa tattica e le tecniche di Cryptolocker.
Considerata l’estrema violazione della privacy associata alla ripresa non autorizzata di fotografie tramite webcam, è possibile prevedere l’insorgere di varianti che minaccino l’effettiva diffusione delle immagini come leva per convincere a pagare il riscatto richiesto.
(Liberamente tradotto dal blog di Webroot)