Recentemente è stato scoperto un nuovo esemplare di Ransomware avente come bersagli paesi Europei, con forte prevalenza di Germania e Francia.

A partire dalla fine di luglio sono state osservate numerose campagne di distribuzione di PyLocky mediante Email malevole con oggetti relativi a fatture di pagamento da scaricare.
Le Email contengono link a siti da cui viene scaricato un archivio in formato ZIP (ad es., “Facture_23100.31.07.2018.zip”), il quale contiene un eseguibile firmato digitalmente che a sua volta scarica sul computer della vittima diversi componenti del malware.

PyLocky utilizza l’algoritmo 3DES implementato dalla libreria PyCrypto e cifra tutti i file con le seguenti estensioni:

.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

Questo ransomware aggiunge ai file cifrati l’estensione “.lockedfile “.

Dopo la fase di cifratura, PyLocky stabilisce un canale di comunicazione con il server C&C, al quale invia le informazioni sul sistema infetto precedentemente raccolte.

La nota di riscatto di PyLocky (vedi immagine) è scritta in Inglese, Francese, Coreano e Italiano, la qual cosa suggerisce che l’Italia potrebbe rientrare tra i prossimi bersagli di questo ransomware.