Microsoft: avviso di sicurezza ZCrypt

Microsoft ha pubblicato un avviso di sicurezza per gli utenti di Windows relativo a ZCrypt, un nuovo tipo di ransomware che esibisce un comportamento simile ad un worm. Questo malware sfrutta infatti unità disco rimovibili e di rete per propagarsi ed infettare altri utenti. ZCrypt viene rilevato da Microsoft come Win32/ZCryptor.A.
Il vettore principale di distribuzione di ZCrypt è costituito da allegati a Email di spam, ma può anche essere installato sulla macchina della vittima attraverso altri macro malware (tipicamente, documenti Microsoft Word contenenti macro malevole) o falsi installer di Flash Player.
Una volta eseguito, questo ransomware diviene persistente aggiungendo la seguente voce al Registro di Sistema che fa sì che venga lanciato automaticamente all’avvio di Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt
ZCrypt crea il file “autorun.inf” in tutte le unità rimuovibili, di fatto diffondendosi sui dischi esterni connessi al computer con una tecnica simile a quella di un worm.
Inoltre, il malware crea il collegamento “zycrypt.lnk” nella cartella di esecuzione automatica dell’utente:
C:\Utenti\%nome_utente%\AppData\Roaming\Microsoft\Windows\Menu
Start\Programmi\Esecuzione automatica
Infine, crea una copia di se stesso in:
{Unità disco:}\system.exe
C:\Utenti\%nome_utente%\AppData\zcrypt.exe
Il malware modifica anche gli attributi dei file per nascondersi all’utente.
Una volta cifrati i file dell’utente, ZCrypt mostra la schermata di riscatto contenuta nel file “How to decrypt files.html” (vedi immagine).

Abbiamo il piacere di annunciare che in data 29 giugno 2017 ha avuto luogo la trasformazione societaria di Euro Informatica da Srl a Società per...