Hello XD: il ransomware con backdoor incorporata

Il ransomware denominato Hello XD, già salito agli onori della cronaca in precedenza, è stato aggiornato per distribuire una backdoor. A rendersi conto della cosa sono stati i ricercatori di Palo Alto Networks Unit 42, i quali hanno prontamente comunicato la scoperta fatta mediante un apposito post sul proprio sito.

Hello XD: il ransomware con la backdoor nel codice

Analizzando il codice del ransomware, i ricercatori hanno carpito che deriva da Babuk/Babyk, quindi presenta parecchie similitudini, ma diversamente da quest’ultimo porta in dote una variante di MicroBackdoor che consente di accedere al file system, caricare e/o scaricare file ed eseguire comandi.

Il ransomware è distribuito tramite un file eseguibile per il quale viene usato il logo di ClamAV, motivo per cui gli utenti più smaliziati potrebbero essere portati a pensare che si tratti del noto antivirus. In realtà, immediatamente dopo l’esecuzione il ransomware va a eliminare tutte le copie shadow per evitare il recupero dei file dal backup e comincia a criptare i file, aggiungendovi l’estensione ".hello".

In ogni directory viene poi copiato un file di testo che fornisce le istruzioni su come eseguire il pagamento del riscatto, per il quale viene richiesto di utilizzare Tox, un sevizio di messaggistica istantanea P2P protetto dalla crittografia end-to-end

Per evitare di andare incontro a minacce informatiche come nel caso di quella in questione, è bene non solo prestare sempre la massima attenzione a qualsiasi attività svolta al computer, ma pure installare un software antivirus in grado di offrire un elevato livello di protezione quale Norton 360 Premium che attualmente è anche disponibile a prezzo scontato.