Microsoft ha pubblicato un avviso di sicurezza per gli utenti di Windows relativo a ZCrypt, un nuovo tipo di ransomware che esibisce un comportamento simile ad un worm. Questo malware sfrutta infatti unità disco rimovibili e di rete per propagarsi ed infettare altri utenti. ZCrypt viene rilevato da Microsoft come Win32/ZCryptor.A.
Il vettore principale di distribuzione di ZCrypt è costituito da allegati a Email di spam, ma può anche essere installato sulla macchina della vittima attraverso altri macro malware (tipicamente, documenti Microsoft Word contenenti macro malevole) o falsi installer di Flash Player.
Una volta eseguito, questo ransomware diviene persistente aggiungendo la seguente voce al Registro di Sistema che fa sì che venga lanciato automaticamente all’avvio di Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt
ZCrypt crea il file “autorun.inf” in tutte le unità rimuovibili, di fatto diffondendosi sui dischi esterni connessi al computer con una tecnica simile a quella di un worm.
Inoltre, il malware crea il collegamento “zycrypt.lnk” nella cartella di esecuzione automatica dell’utente:
C:\Utenti\%nome_utente%\AppData\Roaming\Microsoft\Windows\Menu
Start\Programmi\Esecuzione automatica
Infine, crea una copia di se stesso in:
{Unità disco:}\system.exe
C:\Utenti\%nome_utente%\AppData\zcrypt.exe
Il malware modifica anche gli attributi dei file per nascondersi all’utente.
Una volta cifrati i file dell’utente, ZCrypt mostra la schermata di riscatto contenuta nel file “How to decrypt files.html” (vedi immagine).
