Cybersecurity

Zepto, erede di Locky, cambia cifratura: non si decripta, ma si può fermare

14 Settembre 2016

L’erede dell’ormai celebre Locky, chiamato Zepto, è in circolazione da qualche mese, ma a settembre ha iniziato a circolare una nuova variante.

A differenza degli altri ransomware che ci collegano a server esterni (i cosiddetti command & control server – per sapere cosa sono ti consiglio questo articolo di Achablog) per ricevere istruzioni su come criptare il computer del malcapitato, questa variante ha una sua chiave RSA con cui è in grado di criptare in autonomia.

I pirati hanno dovuto ricorrere a questo tipo di artificio tecnico perché oggigiorno i firewall sono in grado di bloccare le connessioni che vanno verso i server command & control, rendendo quindi vani i tentativi di attacco dei pirati.
 

Dicevo quindi che questo tipo di malware è in grado di cifrare in autonomia, senza doversi collegare a server esterni.
Il virus viaggia per posta elettronica, generalmente all’interno di allegati .ZIP ed è un file con estensione .hta o .js.
Una volta in esecuzione, finito il lavoro, chiede il consueto riscatto.

Purtroppo al momento non esiste una chiave per decriptare i file vittime di questo virus.
Dettagli sul funzionamento del virus puoi trovarli su Bleeping Computer.
 

Ma perché dico che si può fermare?

Perché, come spesso succede, questo tipo di virus viaggia attraverso l’email; questo vuol dire che se si mettono dei blocchi o dei filtri sul mailserver, bloccando i file .JS e .hta (anche all’interno dei file compressi), le possibilità di incappare in uno di questi virus si abbassano drasticamente.

Se sei interessato ad approfondire quali tipi di file è consigliabile bloccare direttamente sul mailserver, ti suggerisco questo post pubblicato su questo stesso blog.
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.