- Comprensione del processo di infezione
Un nuovo ransomware sta facendo il giro dopo che il popolare strumento desktop remoto, AnyDesk, è stato sfruttato. Il ransomware, noto come BlackRouter, si diffonde insieme a un payload dannoso per provocare danni ingenti.
Proprio come Teamviewer (che è stato anche sfruttato in precedenza), AnyDesk offre agli utenti il controllo bidirezionale tra OS, ovvero Linux, macOS, FreeBSD e Linux. Tuttavia, non si limita al solo sistema operativo basato su desktop e include anche il supporto per iOS e Android.
Poiché BlackRouter è in bundle con AnyDesk, che è uno strumento affidabile, riesce a sfuggire al rilevamento.
Comprensione del processo di infezione
Come funziona il ransomware è che deve essere scaricato con AnyDesk dai vari siti di terze parti là fuori.
Una volta scaricato e installato, BlackRouter copia altri due file sul computer, al fine di eseguire processi dannosi, che sono i seguenti:
- % User Temp% \ BLACKROUTER.exe
- % User Temp% \ ANYDESK.exe
AnyDesk.exe dà accesso al client alla chat client, esegue trasferimenti di file e registra sessioni. Ma questo è limitato a una versione precedente di AnyDesk e non a una nuova. Per quanto riguarda BLACKROUTER.exe, il ransomware crittografa i sistemi in diversi tipi di estensioni, ad esempio .xks, .gif, .pdf, ecc.
Una volta che il ransomware farà quello che dovrebbe fare, richiederà Bitcoin per un valore di $ 50, dopodiché apparentemente gli verrà concesso l'accesso tramite Telegram. Inoltre, avvisa gli utenti di non spegnere i loro computer, per impedire che i file crittografati si blocchino per sempre.
Per ora, è consigliabile stare alla larga da tutte le applicazioni simili di condivisione desktop remoto. Per quanto problematica, è l'unica soluzione per ora. Inoltre, assicurati di utilizzare una VPN per rimanere sicuro e anonimo online, a meno che non desideri essere monitorato dalla folla sbagliata. No? Non la pensavo così.