Il ransomware Matrix di nuovo in diffusione via exploit kit.

Qualche tempo fa abbiamo parlato del ransomware Matrix: individuato già a partire dal 2016, ma assolutamente minoritario nel panorama delle minacce online. Dopo un lungo periodo di attività sotto traccia, ricompare ad Aprile 2017 con una caratteristica molto particolare: la capacità di diffondersi come un worm (qui più info). La diffusione resta assolutamente secondaria, fino quasi a condannarlo alla scomparsa. Ora è tornato alla carica.
Come si diffonde?
La vecchia versione si diffondeva sfruttando l’exploit kit RIG diffuso via EITest: quella attualmente in distribuzione riconferma l’uso dell’exploit kit RIG_EK. 


Secondo Jerome Segura, il ricercatore di sicurezza che l’ha analizzato, ha confermato che si diffonde via exploit kit tramite siti web che mostrano malvertising. Questo exploit colpisce due vulnerabilità precise: una in Internet Explorer CVE-2016-0189, l’altra in Flash Player CVE-2015-8651. Entrambe affliggono visitatori dei siti compromessi che usano versioni non aggiornate di Internet Explorer e Flash Player. La semplice navigazione su un sito web compromesso con questo exploit comporta l’infezione: questo ribadisce perché sia così importante tenere sempre aggiornati il sistema operativo e i software che si utilizzano.

Che cosa fa?
Una volta dentro la macchina, il ransomware Matrix cripterà i file nel computer, ne modificherà il nome del file  con una serie di caratteri randome e l’estensione in .pyongyan001@yahoo.com.

Fonte: Bleeping Computer

La nota di riscatto:
il ransomware aggiunge anche, in ogni cartella criptata, un file .rtf con la richiesta di riscatto. Il file si chiama #_#WhatWrongWithMyFiles#_#.rtf. Infine mostra una schermata di riscatto con minacce legali a seguito di supposte violazioni legate a pornografia, zoofilia e pedofilia.

Come difendersi?
Per proteggersi efficacemente da Matrix (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware.

Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.

  • Non aprire gli allegati se non si conosce chi li ha inviati.
  • Non aprire gli allegati finché non si hanno conferme sull’identità della persona che li ha effettivamente inviati.
  • Scansionare gli allegati con strumenti come VirusTotal.
  • Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
  • Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello.
  • Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.