Win32 Filecoder.NFR: il nuovo ransomware che imita Google

Non c’è pace per i nostri computer e per i nostri sistemi, mentre tutti corrono ai ripari per evitare di incappare nel Teslacrypt 3.0 ecco arrivare un nuovo potentissimo ransomware: Win32/Filecoder.NFR.

Un virus che si traveste da Google…proprio così!
Ovviamente Google non ha niente a che vedere con il nuovo ransomware che utilizza proprio gli stessi colori portabandiera della casa di Mountain View (blu, rosso, giallo e verde).

Nella prima settimana di gennaio gli internauti italiani sono stati i più colpiti a livello mondiale
dalle diverse varianti di Filecoder, con il 6,35% delle infezioni

A riverarlo è ESET, l’azienda che da più di 25 anni sviluppa software antivirus per la protezione dei computer.

Win32-Filecoder-NFR

Come funziona?

Simula di essere il file necessario per eseguire il browser Google Chrome e la sua funziona principale è quella del “Ransomware as a Service” (RaaS)  nascosto ad un server nella rete TOR ( usato per navigare anonimamente nella rete).

La procedura del rasomware Win32 Filecoder.NFR  è molto simile ai suoi temuti predecessori:

  • Sceglie cosa infettare
  • Messaggio intimidatorio nello schermo
  • Richiesta di Bitcoin come riscatto

Win32/Filecoder.NFR si installa nel sistema operativo svolgendo il suo lavoro di decompressione dei suoi potenti file nella cartella dei file temporanei e si imposta per essere eseguito ad ogni avvio del sistema.
Il file dannoso è chrome.exe (stesso eseguibile del browser Google), la grossa differenza è che il file malevolo non presenta nessuna firma digitale e anche le informazioni sulla versione e del prodotto sono state eliminate.

Difenditi dai ransomware

Per ricevere ulteriori informazioni e scoprire i nostri prodotti per la sicurezza informatica

Come può infettarci?

Si ci può infettare con le classiche email con allegati, backdoor, siti web potenzialmente pericolosi e Trojan Downloader.
Tutti i file vengono criptati in codifica AES (Advanced Encryption Standard, algoritmo di cifratura a blocchi) e vengono generate nuove chiavi per ogni documento codificato usando l’algoritmo RSA (crittografia asimmetrica utilizzabile per cifrare o firmare informazioni)

Quali estensioni può crittografare?

Sono circa un centinaio, tra le più comuni citiamo .txt, .doc, .jpg, .gif, .MP4, MOV, .AVI e j6 con la grande differenza rispetto agli altri ransomware nelle dimensioni del file.
Mentre gli altri erano di piccole dimensioni il Win32/Filecoder.NFR può arrivare quasi a “pesare” 45 MB.

Come proteggersi
  • Tenere costantemente aggiornati antivrus e installare sempre le patch di sicurezza Microsoft
  • Accertarsi sempre dell’ affidabilità e provenienza degli allegati nelle email
  • Aggiornare sempre i browser di navigazione e i supi programmi di interfaccia (Java, Adobe, Media Player….)

Scopri come Wingsoft può aiutarvi a proteggere le vostre reti informatiche con soluzioni di data security.

Sull'autore