PowerWare, il Macro ransomware invisibile che colpisce Microsoft Word

Naviga SWZ: Home Page » News
News del 03 Luglio 16 Autore: Fabio Ferraro
La piaga di questi ultimi anni, nel mondo dei malware, è il ransomware.
Abbiamo già visto in passato come generalmente funziona un ransomware e come questo rappresenti, letteralmente, un ricatto (per maggiori informazioni cliccate qui).
Nonostante Windows sia il sistema operativo più colpito, anche macchine Linux e Mac sembrano non essere esenti da pericoli.

Ulteriori tentativi (dagli esiti modesti) sono inoltre stati effettuati per la criptografia dei dati di  dispositivi mobile. In realtà, quello che più dovrebbe intimidire non è il danno, esoso ma controllabile, che questi malware hanno creato e continuato a creare, ma bensi un’evoluzione che sembra non volersi arrestare.

PowerWare, il Macro ransomware invisibile che colpisce Microsoft Word - immagine 1

Aumenta infatti la dimensione della chiave di cifratura e crescono le modalità tramite le quali è possibile rimanere infetti.
In realtà, il vero punto debole dei ransomware è la capacità della maggior parte degli antivirus di individuarli ed eliminarli prima che possano creare danni. Spesso infatti, è lo stesso utente che, a seguito di un inganno (quale la presunta attendibilità della provenienza del file che risulterà in seguito infetto) avviano il file eseguibile e, con esso, l’infezione (spesso, ignorando il blocco dei sistemi di monitoraggio).
Ma lo sviluppatore di un nuovo ransomware, PowerWare, sembra esser riuscito a trovare un escamotage per affievolire anche questa debolezza.

PowerWare, il Macro ransomware invisibile che colpisce Microsoft Word - immagine 2

Infatti PowerWare non installa un eseguibile per attuare il criptaggio dei dati presenti nel computer, bensì arriva sotto forma di file Word che integra una macro. Questa stessa macro, una volta aperto il documento di testo, avvia due istanze alla PowerShell di Windows: la prima si occuperà di scaricare lo script per il criptaggio dei dati, eseguito in seguito dalla seconda.

PowerWare, il Macro ransomware invisibile che colpisce Microsoft Word - immagine 3

Nessun file di installazione quindi ma, piuttosto, l’esecuzione di uno script tramite PowerShell. Questo procedimento rende quindi difficile per un antivirus individuare l’avvio di codice malevolo (anche se esistono alcuni prodotti che sono in grado di riconoscere l’avvio dell’automatizzazione di procedure di criptaggio, quali MalwareBytes AntiRansomware).
Una volta eseguito il codice malevolo, per riottenere l’accesso ai file, l’utente sarà costretto a pagare 500 dollari. Cifra destinata a raddoppiare nel caso in cui il pagamento avverrà dopo due settimane dall’infezione.

In realtà il codice di PowerWare è piuttosto semplice e basilare, sembrando più un beta-test che un vero tentativo di infezione. Ma questo in realtà non è un fattore positivo: pare infatti chiaro come gli sviluppatori di codice malevolo stiano cercando di affinare la progettazione di nuove tipologie di ransomware. Oltre al backup (che si pone come vera unica opposizione al problema ransomware) consigliamo di disattivare le macro di Word, almeno che non ne facciate davvero uso.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Windows

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE