{"id":7800,"date":"2016-03-25T14:08:10","date_gmt":"2016-03-25T14:08:10","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7800"},"modified":"2020-02-26T17:30:53","modified_gmt":"2020-02-26T15:30:53","slug":"locky-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/locky-ransomware\/7800\/","title":{"rendered":"Locky, lo scaltro ransomware che deruba gli ospedali americani"},"content":{"rendered":"<p>Medici e pazienti di tutto il mondo, attenzione: la famiglia dei cybercriminali cresce! Nonostante la sua giovane et\u00e0, con un mese di vita un ransomware ha gi\u00e0 criptato i file in due ospedali statunitensi e fruttato 17.000$ ai suoi creatori.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-7801\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/05\/05234910\/locky-ransomware-featured.jpg\" alt=\"locky-ransomware-featured\" width=\"1280\" height=\"840\"><\/p>\n<p>Il \u201cbeb\u00e8\u201d \u00e8 stato chiamato Locky e, appena nato, ha conquistato in breve tempo la notoriet\u00e0 globale. Il motivo? Ha <a href=\"https:\/\/threatpost.com\/locky-ransomware-borrows-tricks-from-dridex\/116304\/\" target=\"_blank\" rel=\"noopener nofollow\">infettato<\/a> le cartelle cliniche dell\u2019Hollywood Presbyterian Medical Center di Los Angeles. Ebbene s\u00ec, l\u2019ospedale \u00e8 stato bloccato e alla fine ha <a href=\"http:\/\/www.npr.org\/sections\/thetwo-way\/2016\/02\/17\/467149625\/la-hospital-pays-hackers-nearly-17-000-to-restore-computer-network\" target=\"_blank\" rel=\"noopener nofollow\">pagato<\/a> 17.000$ per riavere le sue cartelle.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Locky?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Locky<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> Borrows Tricks from Dridex via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/4VRyAas6pY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/4VRyAas6pY<\/a> <a href=\"https:\/\/t.co\/JO43afN7hq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/JO43afN7hq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/700427833781440512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 18, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La nuova vittima, il Methodist Hospital di Henderson, in Kentucky, \u00e8 una struttura per la terapia intensiva da 217 posti letto. Per fermare l\u2019infezione, l\u2019ospedale ha dovuto spegnere tutti i PC della rete. L\u2019amministrazione dell\u2019ospedale collabora con l\u2019FBI controllando a uno a uno tutti i dispositivi in cerca dell\u2019infezione. \u00c8 possibile che alcuni dati possano essere recuperati dai backup. A differenza del precedente attacco all\u2019ospedale, il riscatto richiesto \u00e8 stato di soli 1.600$. Tuttavia, i funzionari dell\u2019ospedale affermano che il denaro verr\u00e0 pagato solo come misura estrema.<\/p>\n<p>https:\/\/twitter.com\/JGavin14News\/status\/711956381637726209<\/p>\n<p>Le avventure di Locky in Kentucky sono cominciate con una lettera, come avviene di solito. Lo scorso venerd\u00ec un impiegato dell\u2019ospedale ha ricevuto spam e ha fatto partire l\u2019allegato che, a sua volta, ha scaricato il ransomware dal server dei criminali, aprendo la rete a Locky. Il trojan ha copiato velocemente tutti i dati sul dispositivo, criptandoli e cancellando gli originali. Contemporaneamente, Locky ha cominciato il suo viaggio lungo la rete aziendale dell\u2019ospedale, che poteva essere fermato solo spegnendo tutti i PC.<\/p>\n<p>Prima Locky era stato recapitato con l\u2019aiuto di file doc con script dannosi che hanno scaricato il trojan da server remoti. In seguito, i delinquenti hanno cambiato tattica e sono passati agli archivi zip con gli script Java, che allo stesso modo scaricavano il trojan da server criminali e lo lanciavano. La maggior parte delle lettere dannose era in inglese. Ma c\u2019erano pure email scritte in due lingue allo stesso tempo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Hospitals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Hospitals<\/a> are under attack\u2026 what's at risk? <a href=\"https:\/\/t.co\/b1WYjQgpfY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/b1WYjQgpfY<\/a> via <a href=\"https:\/\/twitter.com\/61ack1ynx?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@61ack1ynx<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Infosec<\/a> <a href=\"https:\/\/t.co\/euuJ8041U0\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/euuJ8041U0<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/713003737187532800?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 24, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Secondo <a href=\"https:\/\/www.kaspersky.it\/blog\/sicurezza-su-cloud-1-termine-tecnico-0-grafici-complicati\/6059\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network<\/a>, Locky attacca soprattutto gli utenti di Germania, Francia, Kuwait, India, Sudafrica, USA, Italia, Spagna e Messico. Per quel che ne sappiamo, al trojan non interessa la Russia e i paesi della Comunit\u00e0 di Stati Indipendenti.<\/p>\n<p>Va notato che Locky \u00e8 un trojan davero bizzarro: raccoglie statistiche dettagliate su ogni vittima, il che \u00e8 piuttosto insolito per un ransomware. Questo zelo pu\u00f2 essere spiegato dagli interessi pecuniari dei delinquenti: quest\u2019attivit\u00e0 li aiuta a determinare il valore dei file criptati al fine di stabilire un riscatto individuale e guadagnare un enorme profitto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00c8 improbabile che Locky sia stato creato per colpire nello specifico strutture sanitarie. Gli esperti di sicurezza sono certi che i criminali andranno a caccia di qualsiasi utente che si affidi molto ai dati, come avvocati, personale medico, architetti e cos\u00ec via.<\/p>\n<p>Per concludere, vorremmo dire che le soluzioni Kaspersky Lab proteggono gli utenti da Locky a vari livelli:<\/p>\n<ol>\n<li>Il modulo <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/kaspersky-anti-spam-protection\/6213\/\" target=\"_blank\" rel=\"noopener\">anti-spam<\/a><\/strong> rileva email dannose inviate dai cybercriminali.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Le <strong>email e i file antivirus<\/strong> integrati individuano gli script in upload e mettono in guardia l\u2019utente. Le nostre soluzioni rilevano questi script come Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent e HEUR:Trojan-Downloader.Script.Generic.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Il<strong> file antivirus<\/strong> riconosce il file eseguibile e avverte l\u2019utente che il Trojan-Ransom.Win32.Locky \u00e8 stato rilevato.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Il modulo <strong>System agent<\/strong> di <a href=\"https:\/\/www.kaspersky.com\/it\/internet-security?redef=1&amp;reseller=it_kiskldit_oth_ona_smm__onl_b2c__lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> trover\u00e0 anche campioni sconosciuti del ransomware Locky e notificher\u00e0 all\u2019utente il rilevamento del PDM:Trojan.Win32.Generic. Inoltre, non permetter\u00e0 al trojan di criptare file sul vostro disco duro, quindi nessun tipo di ransomware sar\u00e0 in grado di sottrarre e bloccare i vostri dati e chiedere denaro.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Ransomware Locky: una email pu\u00f2 portar via tutti i dati<\/p>\n","protected":false},"author":522,"featured_media":7801,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[841,130,1923,687,635,45],"class_list":{"0":"post-7800","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-dati","10":"tag-kaspersky-internet-security","11":"tag-locky","12":"tag-medicina","13":"tag-ransomware","14":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/locky-ransomware\/7800\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/locky-ransomware\/5373\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/locky-ransomware\/3769\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/locky-ransomware\/6916\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/locky-ransomware\/6884\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/locky-ransomware\/8015\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/locky-ransomware\/11382\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/locky-ransomware\/11667\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/locky-ransomware\/5427\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/locky-ransomware\/6121\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/locky-ransomware\/10849\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/locky-ransomware\/11382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/locky-ransomware\/11667\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/locky-ransomware\/11667\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/dati\/","name":"dati"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7800"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7800\/revisions"}],"predecessor-version":[{"id":20712,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7800\/revisions\/20712"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7801"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}