Categorie: FacebookVirus

VIRUS Photo_9166.svg Locky Ransomware, nuovo virus mediante Messenger – bufale.net

Tutti voi conoscerete i Ransomware, la famiglia di virus cui appartiene il famigerato Cryptolocker: sono dei virus particolari che, anziché corrompere i dati, come suggerisce la stessa nomenclatura, rendono gli stessi illeggibili (criptati), costringendo l’utente vittima a inviare del denaro (mediante bitcoin o altri strumenti di difficile tracciabilità e impossibile restituzione) a server esteri gestiti da persone che promettono di poter sistemare i dati.

Solitamente questi virus si diffondono mediante la posta elettronica: la pagina social della Polizia di Stato ne ha identificato uno che si diffonde tramite Facebook

OCCHIO AL VIRUS. Lo avevamo anticipato con questo post, adesso è una certezza: “Vi arriva tramite messaggio in chat privata da un amico, apparentemente sembra una foto, ma è un virus il nuovo ransomware che ha estensione “.svg”.

Locky il nuovo ransomware distribuito tramite file SVG su Facebook Messenger

Rilevata una nuova campagna di diffusione del ransomware Locky veicolato tramite Facebook Messenger e il download Nemucod, che fa uso di file .SVG per diffondere l’infezione.
La diffusione del ransomware avviene tramite lo scambio del file “Photo_9166.svg” su Facebook Messenger.

I file SVG come il documento “Photo_9166.svg” diffuso via Facebook dal cryptovirus sono documenti grafici che possono contenere al loro interno del codice JavaScript che viene aperto direttamente nei browser delle vittime, attivando il download del vero e proprio payload che si occupa d’infettare il computer, criptare i documenti e chiedere un riscatto in bitcoin. Il file”Photo_9166.svg” contiene, come si vede qui di seguito, HTML e javascript offuscato.

Photo_9166.svg Locky Ransomware tramite NemucodOltre a rimanere infettate, le vittime vengono redirette verso una finta pagina di YouTube che propone l’installazione di una estensione di Chrome, chiamata Ubo o One, che si occupa di diffondere il ransomware utilizzando il profilo Facebook della vittima.

Se siete stati infettati, potete rimuovere l’estensione malevola installata su Google Chrome, cliccando sul menù con il disegno della chiave inglese o dei tre punti, quindi su “Strumenti” → “Estensioni” e cercando l’estensione Ubo o One. A quel punto, selezionare “Disinstalla” per rimuovere l’estensione malevola da Chrome.

In rete si trovano alcuni sample del trojan Locky che tramite Nemucod si diffonde con il nome di “Photo_9166.svg” via Facebook, ad esempio su VirusTotal e su Hybrid Analysis, in file con hash MD5 a5c51da26364442b10e784932944f4a7 e c82c05017b12899d673f78c744ff8c5d.
UTENTE AVVISATO MEZZO SALVATO

Sostanzialmente in questo caso l’azione del virus, che si diffonde prevalentemente sfruttando i meccanismi di Google Chrome stesso è duplice: il messaggio contiene un allegato virale, il file ”Photo_9166.svg”, il quale, dopo aver avviato il processo che rende illeggibili tutti i vostri dati, vi porta ad una falsa pagina web per scaricare una piccola estensione di Google Chrome che si occupa di diffondere il virus.

Nel caso siate stati così incauti da essere stati infettati, o riteniate di esserlo, potrete controllare dal menù estensioni la presenza dell’estensione virale. Vi forniamo anche un’immagine esplicativa del procedimento

Per seguire le istruzioni della Polizia Postale e controllare i dati del file senza doverlo aprirle, potrete reperire un piccolo calcolatore del codice hash qui, anche se, a meno che non siate già un po’ esperti di vostro, è cosa buona e giusta ignorare ogni messaggio sospetto, eventualmente confermando con chi dovrebbe avervelo inviato con altro mezzo (email, telefono, Whatsapp…) la reale intenzione di invio.