Nelle scorse settimane ci sono state alcune buone notizie nella lotta contro il malware e il ransomware.
In primo luogo c’è stata la “resa” dei creatori di TeslaCrypt che hanno messo a disposizione tutte le informazioni per poter recuperare gratuitamente tutti i file cifrati con questo virus.
Sconfitto quindi TeslaCrypt è subito assurto agli onori della cronaca CryptXXX che doveva, nelle intenzioni dei creatori, diventare subito la peste del secolo e dopo poco invece, a causa (pare) di un bug di programmazione è subito comparso un decrittatore gratuito.
Tutto finito e allarme cessato?
Nemmeno per idea. CryptXXX è ora in giro con una nuova versione (a 3.100) che oltre a cifrare i dati (lo diamo quasi per scontato) ruba i dati personali.
Come fa a rubarli?
CryptoXXX scarica un componente chiamato StillerX che mette dei moduli dentro al computer in grado di recuperare le credenziali (password). Questo modulo si trova sul computer sotto forma di file: “stiller.dll”, “stillerx.dll” and “stillerzzz.dll”.
Le credenziali che questo modulo è in grado di rubare sono relative a:
- browser (history, cookies, credenziali memorizzate)
- download managers
- caselle email
- account FTP
- sistemi di messaggistica istantanea
- proxy server
- software di amministrazione remota
- accessi VPN
- Microsoft Credential Manager
Altro aspetto da considerare è che StillerX, benché venga distribuito da CryptoXXX, è un “modulo” indipendenti che potrebbe essere utilizzato anche da altri programmi per avere accesso alle credenziali sopra citate.
Come reagire, quindi?
Prevenzione, prevenzione, prevenzione!