La rete deve vedersela con un nuovo alert virus. Della serie, non si può mai stare tranquilli. D’altronde i pericoli informatici sono in continua evoluzione e, proprio per questo, vanno costantemente monitorati. Questa volta a far paura è una variante del ramsonware Rakhni (nome completo ‘Trojan-Ransom.Win32.Rakhni’), conosciuto dagli analisti fin dal 2013. La “mutazione” è stata ora scoperta dagli esperti di Kaspersky Lab. E sono proprio i ricercatori a segnalare che la sua nuova funzionalità si concentra proprio su un settore ghiotto: il mining di criptovalute.

Il malware decide come agire

In sintesi, è lo stesso malware a decidere sulla base delle caratteristiche del Pc colpito “se attivare la funzionalità di cifratura dei file, tipica dei ransomware (virus che poi chiedono un riscatto per essere disattivati, ndr) o quella per l’estrazione di diversi tipi di criptovalute”. Come riporta AdnKronos, il virus mutato sceglie se “mangiarsi” gli eventuali Bitcoin presenti nel computer.
Gli avvisi del CERT

Gli esperti del CERT – Computer Emergency Response Team, informano che questo virus “viene distribuito prevalentemente attraverso campagne di email di spam con allegati malevoli”, “per lo più in Russo” e con “allegato un file di Microsoft Word (estensione .docx) che a sua volta presenta al suo interno quello che appare come un documento PDF embedded. Se chi viene colpito fa malauguratamente un doppio clic sull’icona del documento, invece di aprire un file PDF lancia un eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione”.

Come agisce

“Il trojan decide se scaricare il ransomware o il miner a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin”. Se esiste “viene scaricato il modulo per la cifratura. Se la cartella non esiste e la macchina è equipaggiata con un processore con almeno due core logici, viene scaricato il modulo per il mining”. Se nessuna delle due circostanze si verifica, “viene attivata la funzionalità di worm: il trojan tenta di copiare sé stesso su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa”.

Come proteggersi

Anche in questo caso, l’antivirus fa la differenza. Perché dopo aver “verificato la presenza di processi in esecuzione relativi a prodotti antivirus”, se nel sistema non viene trovato alcun antivirus, “il trojan esegue una serie di comandi per disabilitare Windows Defender”. Comandi che “inviano email ad un indirizzo codificato al loro interno. Questi messaggi contengono varie statistiche sull’infezione e una serie informazioni tra cui: nome del computer; indirizzo IP della vittima; percorso del malware sul sistema; data e ora correnti; data di creazione del malware”. Però “la capacità di individuazione di questa variante di Rakhni da parte dei più diffusi antivirus risulta molto elevata”, informato i ricercatori. Una parziale buona notizia c’è.

Nuovo pericolo per i Bitcoin: arriva il file che li “mangia”