Hitler, il ransomware che cancella file e chiede 25 euro di ricarica

Hitler RansomwareI ricercatori di Bleeping Computer hanno segnalato la diffusione di un nuovo ransomware che si fa chiamare “Hitler-Ransonware” e, invece di criptare i file e chiedere un riscatto in bitcoin come la maggior parte dei cryptovirus, minaccia di cancellare i file se la vittima non fornisce un codice di ricarica Vodafone Card da 25 euro.

Il trojan non sembra scritto da professionisti e contiene persino un errore nel nome: “ransoNware” dovrebbe essere scritto “ransoMware”, errore su cui cade buona parte dei non madrelingua inglese. Tecnicamente non si tratta di altro che un file batch (il codice è disponibile a questo link [WBM]) convertito in eseguibile che come prima cosa rimuove le estensioni dei file del PC della vittima e mostra una schermata che minaccia la cancellazione dei file entro un’ora se non viene pagata la somma di 25 euro tramite un codice di ricarica Vodafone Card. Dopo un’ora, il PC viene mandato in crash e riavviato e, al riavvio, viene eseguito un codice che cancella i file della vittima.

Dai commenti presenti nel file batch si evince, oltre al fatto che l’autore è probabilmente tedesco, che la versione del ransomware distribuita in questi giorni è un test che potrebbe quindi mutare nel tempo:

Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows

In italiano significa:

Questo è un test
piuttosto un Hello World
copyright Hello World 2016
: D by CoolNass
Sono un professionista
degli applicativi per Windows

Durante la sua esecuzione, il ransomware controlla ciclicamente la presenza di processi con nomi come “taskmgr”, “utilman”, “sethc”, o “cmd” e, se li trova attivi, li interrompe, così da evitare di poter essere bloccato dall’utente che si è accorto di essere stato infettato.

Come suggerisce Bleeping Computers, per ransomware come questi può essere utile impostare Windows in modo che non si riavvii automaticamente in caso di crash (l’opzione si trova nelle Impostazioni di Sistema) così da evitare il reboot che attiva la vera e propria cancellazione dei file.

Chi è interessato a un’analisi tecnica del trojan può trovare un sample e l’esecuzione del codice in VM ai seguenti link:

  • https://www.virustotal.com/en/file/06c8e0f6fa2616f4fa92c610a1faea23887ac31db8fa78cede49b6b8c80ec22f/analysis/1470566199/
  • https://malwr.com/analysis/NzI0MGU2YWQ0ZWY4NDExNDk0M2MwN2E3MjhlODZhMTA/https://
  • www.reverse.it/sample/06c8e0f6fa2616f4fa92c610a1faea23887ac31db8fa78cede49b6b8c80ec22f?environmentId=100

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.