Arriva il ransomware in python "Fsociety Locker" per i fan di Mr. Robot

Il ricercatore Michael Gillespie ha rilevato la presenza, nei mercati illegali sul dark web, di un nuovo tipo di ransomware, descritto poi in dettaglio dai tecnici Fortinet nel loro sito e da un post del blog BleepingComputer. Il cryptovirus è scritto in python e si fa chiamare “Fsociety Locker” (“Fsociety ALpha 1.0”) in onore della serie televisiva Mr. Robot dove “Fsociety” è il nome del gruppo di hacker protagonista delle vicende narrate.

Il criptovirus implementa diverse funzioni (anche se nelle versioni iniziali alcune non sono attive) come routine d’infezione di dischi di rete, tecniche anti virtualizzazione e il download di payload aggiuntivi personalizzabili che possono integrare le funzioni del ransomware.

Fsociety cifra numerosi tipi di file, inclusi i file già criptati dagli altri ransomware, così da rendere vano il pagamento di altri riscatti se prima non si è pagato quello da lui richiesto.

La cifratura avviene mediante algoritmo AES con chiave statica codificata nel codice, i file vengono sovrascritti con la loro versione criptata e viene aggiunta l’estensione “.fs0ciety”. Nelle versioni testate da Fortinet, la chiave AES era fissa, la speranza quindi è di riuscire a scoprire in breve tempo la password per utilizzarla per decifrare senza pagare il riscatto.

La pagina di richiesta di riscatto – nella versione testata da Fortinet – è incompleta e alcune vittime non sono in grado di visualizzarla, cosa che fa pensare a una fase di test prima della distribuzione su larga scala del malware.

Fortinet ha rilevato nel codice alcune funzioni implementate ma non utilizzate, come la possibilità di eseguire del codice arbitrario scaricato da dei link, utile ad esempio per far fare attività aggiuntive ai PC infetti oppure sistemi di rilevamento di ambienti virtualizzati che impediscono al cryptovirus di essere studiato in un ambiente virtuale perché questo non si avvia se lanciato su VM.

I sample analizzati da Fortinet hanno i seguenti valori hash:

MD5: d8a84048067f2b73fc8bb994bc0abe71
SHA256: 6369badfb87908562025fe09278b5648f33d42a737c76bacaa80e48183643ac6

Termini di ricerca frequenti

Ransomware Blog
Ransomware In Python
Ransomware Python
Python Ransomware

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Arriva il ransomware in python “Fsociety Locker” per i fan di Mr. Robot

Termini di ricerca frequenti

Lascia un commento Annulla risposta