È arrivato il ransomware "CoronaVirus"
Redazione SecurityOpenLab Si chiama CoronaVirus il nuovo ransomware che crittografa i dati del PC. Si scarica automaticamente da un sito infetto.
Il malware "CoronaVirus" è un nuovo tipo di ransomware scoperto dai ricercatori di CyberArk. Si diffonde attraverso il sito malevolo Web WiseCleaner[.]Best, un sosia di quello legittimo WiseCleaner.com. Il ransomware è distribuito insieme a un infostealer di nome KPot. Si tratta di un software che cattura istantanee dello schermo in formato JPEG e le invia a un server remoto. I cyber criminali lo usano per il furto di credenziali.
Chi visita il falso sito scarica automaticamente il downloader WSHSetup.exe. Occupa poco spazio ed è programmato per scaricare e avviare altri file dannosi, fra cui Kpot e il ransomware CoronaVirus. Quest'ultimo crittografa i dati della vittima e richiede un riscatto di 0,008 Bitcoin, circa 45 dollari. È un valore insolitamente basso per un ransomware.
Il ransomware inoltre elimina le copie nascoste dei backup e cambia i loro nomi in coronaVi2022@protonmail.ch___%file_name%.%ext%. Quindi modifica la chiave BootExcute su HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager per visualizzare una richiesta di riscatto prima del caricamento di Windows. In ogni directory che contiene file crittografati, CoronaVirus crea un file TXT che contiene la nota di riscatto. Dopo aver crittografato tutti i file, CoronaVirus si elimina da solo e riavvia il PC.
I ricercatori che hanno scoperto questo ransomware hanno anche verificato che l'Endpoint Privilege Manger è efficace al 100% nell'impedire a CoronaVirus di crittografare i file. Inoltre, le funzionalità di protezione dai furti di credenziali di Endpoint Privilege Manager hanno rilevato e bloccato KPot.
È importante notare che questo attacco non è basato sulle note tattiche di social engineering. È quindi importante non fare clic su URL sconosciuti. Come sempre, è buona norma disporre di backup aggiornati e conservati separatamente dal PC, e installare tutti gli aggiornamenti di sicurezza disponibili.
Chi visita il falso sito scarica automaticamente il downloader WSHSetup.exe. Occupa poco spazio ed è programmato per scaricare e avviare altri file dannosi, fra cui Kpot e il ransomware CoronaVirus. Quest'ultimo crittografa i dati della vittima e richiede un riscatto di 0,008 Bitcoin, circa 45 dollari. È un valore insolitamente basso per un ransomware.
Il ransomware inoltre elimina le copie nascoste dei backup e cambia i loro nomi in coronaVi2022@protonmail.ch___%file_name%.%ext%. Quindi modifica la chiave BootExcute su HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager per visualizzare una richiesta di riscatto prima del caricamento di Windows. In ogni directory che contiene file crittografati, CoronaVirus crea un file TXT che contiene la nota di riscatto. Dopo aver crittografato tutti i file, CoronaVirus si elimina da solo e riavvia il PC.Tutti gli aggiornamenti di cyber sicurezza sul coronavirus sono raccolti nello speciale Coronavirus e sicurezza: proteggersi dal contagio digitale
I ricercatori che hanno scoperto questo ransomware hanno anche verificato che l'Endpoint Privilege Manger è efficace al 100% nell'impedire a CoronaVirus di crittografare i file. Inoltre, le funzionalità di protezione dai furti di credenziali di Endpoint Privilege Manager hanno rilevato e bloccato KPot.
È importante notare che questo attacco non è basato sulle note tattiche di social engineering. È quindi importante non fare clic su URL sconosciuti. Come sempre, è buona norma disporre di backup aggiornati e conservati separatamente dal PC, e installare tutti gli aggiornamenti di sicurezza disponibili. 
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Nov 27
IDC CIO Summit di Milano
Dic 02
WPC 2025
Ultime notizie Tutto
Acronis prepara il futuro degli MSP: uno stack completo di cybersecurity e automazione AI-based
07-11-2025
Clusit, nel mondo cyber incidenti in crescita quasi tripla rispetto all’Italia
06-11-2025
Agenti AI: crash, hack e anomalie operative sono gli scenari da evitare
04-11-2025
Zyxel Networks presenta l’accesso senza password e una sicurezza AI-driven
04-11-2025
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
