Quando gli hacker malvagi si annoiano, non si fermano fino a quando non trovano nuovi modi per fare del male e guadagnare soldi dalle spalle delle loro vittime. Una nuova minaccia sta seminando paura tra gli utenti di Internet, ed è una variante di ransomware soprannominata "CryPy", che è stata scritta in linguaggio Python. A differenza di altri malware, assegna una chiave univoca a ciascun file crittografato sul sistema della vittima ed è molto difficile decrittografarlo.

Siamo stati avvisati dell'esistenza di CryPy dal ricercatore di AVG, Jakub Kroustek, che ha pubblicato sul suo account Twitter che questo ransomware è stato scoperto in natura. Sembra che CryPy sia composto da due file: boot_common.py, che viene utilizzato per la registrazione degli errori su Windows e cripttor.py, che è il locker e contiene una serie di funzioni. Sembra che ci sia un web server in Israele, che è stato compromesso usando una vulnerabilità in un content management (Magento) e gli hacker hanno usato il server per attacchi di phishing.

Si ritiene che dietro questi attacchi ci siano alcuni sviluppatori di lingua ebraica, che sono stati in grado di rubare le credenziali di Paypal e quindi inoltrarle a un server remoto in Messico contenente una diversa gestione dei contenuti, ma con la stessa tecnica di caricamento dei file. Per quanto riguarda CryPy, una volta infettato da un sistema, disabilita le funzionalità che di solito terminano il malware, come Strumenti di registro, Task Manager, CMD ed Esegui. Successivamente, crittografa i file e assegna una chiave univoca per ciascun file crittografato. Quindi, alle vittime viene inviata una richiesta di riscatto che dice:

“Tutti i tuoi file sono crittografati con potenti chipher. La decodifica dei tuoi file è possibile solo con il programma di decrittazione, che si trova sul nostro server segreto. Si noti che ogni 6 ore, un file casuale viene eliminato in modo permanente. Più veloce sei, meno file perderai. Inoltre, tra 96 ​​ore, la chiave verrà eliminata in modo permanente e non sarà possibile ripristinare i file. Per ricevere il tuo programma di decodifica contatta una delle email: 1. m4n14k @ sigaintorg 2. blackone @ sigaintorg. Informa semplicemente il tuo ID identificativo e ti daremo le prossime istruzioni Il tuo ID di identificazione personale:"

Non è noto se il ransomware abbia già fatto vittime, ma è importante installare un potente software anti-ransomware per evitare questi attacchi.