skip to Main Content

Cybercrime, il ransomware PwndLocker si trasforma in ProLock

PeterM di Sophos: Il cybercrime trasforma il ransomware PwndLocker in ProLock e torna all’attacco. Il malware è veicolato attraverso un’immagine BMP denominata WinMgr.bmp

Torna il ransomware PwndLocker, che si trasforma in ProLock. Lo ha scoperto il ricercatore di cyber security PeterM di Sophos. Il malware originale era emerso recentemente, ma gli esperti Michael Gillespie e Fabian Wosar di Emsisoft erano riusciti a sviluppare un decryptor che, grazie a un bug del codice malevolo, permetteva di recuperare i file senza pagare il riscatto. Gli autori del cybercrime, però, li hanno successivamente aggiornato chiudendo la falla. La nuova versione viene veicolata attraverso un’immagine BMP denominata WinMgr.bmp. Nell’immagine è incorporato l’eseguibile del ransomware. Il file BMP viene visualizzato correttamente ma contiene anche dei dati binari che vengono successivamente riassemblati da uno script PowerShell che li inietta direttamente nella memoria. Il ransomware cifra i file presenti nel dispositivo aggiungendo l’estensione .proLock e in ogni cartella scansionata, crea una nota di riscatto denominata [How to recover files].txt, contenente le istruzioni e le informazioni sul pagamento.

Gli esperti di cyber security del CERT-PA: Il codice malevolo per ora non ha colpito l’Italia. Attenzione comunque! E doppiamente pericoloso. Sembra che i suoi autori, prima di crittografare i dati, li abbiano rubati

Gli esperti di cyber security del CERT-PA avvisano che al momento non si rilevano campagne ProLock rivolte verso utenti in Italia. Comunque, continueranno a monitorare la diffusione del ransomware, comunicando eventuali altre evidenze. Allo stesso tempo, però, si invitano gli utenti a non abbassare la guardia. Il pericolo di attacchi malware del cybercrime in questo momento è estremamente elevato, soprattutto a seguito dell’emergenza del Coronavirus. Il malware, peraltro, per ora sta prendendo di mira gli Stati Uniti, ma non è detto che i suoi autori non decidano presto di rivolgere la loro attenzione anche all’Europa. Inoltre, il codice è doppiamente pericoloso. Sembra, infatti, che prima di crittografare i dati, li rubi. Lo riporta Bleeping Computer nel caso di una contea dell’Illinois, colpita dal malware.

Back To Top