Filecoder.NFR, nuovo ransomware che si finge Google Chrome

Il nuovo ransomware Filecoder.NFR si veste da Chrome per ingannare gli utenti e prendere in "ostaggio" i loro file.

computer-lock-tastiera.jpg

Filecoder.NFR è il nome della minaccia che sta colpendo in questo inizio 2016 chi naviga in rete, in particolare noi Italiani visto che è da noi che si registra la maggioranza (6,35%) delle infezioni. Il nuovo malware rientra nella sottocategoria dei ransomware, ed è particolarmente insidioso perché finge di essere il file necessario per l'esecuzione del browser Chrome.

Il funzionamento, scoperto da ESET, prevede il collegato a un server nascosto nella rete TOR, dal quale i criminali possono scegliere cosa infettare nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo.

Una volta che Filecoder.NFR si installa con successo su un sistema, i suoi file vengono copiati nella cartella dei file temporanei e viene configurato per l'esecuzione automatica a ogni avvio del sistema. Il file dannoso si chiama chrome.exe, ed è quindi simile al file integro del browser Chrome. Le estensioni dei file che il ransomware può crittografare e tenere in "ostaggio" sono tra le più comuni, comprese .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.

Un altro dettaglio che può aiutare a distinguere Filecoder.NFR sul proprio PC è la dimensione, pari a circa 45 MB, al contrario di quelle usualmente piccole dei ransomware. Anche qui, la spiegazione è che Filecoder.NFR cerca d'ingannare fingendo le stesse dimensioni del file chrome.exe originale.

  • shares
  • +1
  • Mail