I laboratori Trend Micro segnalano una nuova e più ampia diffusione di attacchi ransomware tramite Cryptolocker, un tipo di malware ricomparso negli ultimi giorni sotto forma di una nuova variante. Secondo gli esperti sono già numerosi gli utenti italiani che hanno contratto questo tipo di ransomware, con conseguenti criticità operative e di accesso ai propri file.
Cryptolocker, come altri ransomware è capace di tenere in “ostaggio” un computer, bloccando accessi e file fino a quando l’utente paga un determinato importo in denaro, così da ricevere istruzioni specifiche per sbloccarlo. Il Ransomware Cryptolocker, una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows, criptando quasi immediatamente tutti i dati presenti sul disco rigido e richiedendo poi un pagamento all’utente. È bene precisare, però, che il pagamento del riscatto non garantisce il ripristino della normalità. Questo perché la durata dei server che contengono le chiavi per decriptare i file è limitata e varia da poche ore a qualche giorno.
In particolare, Cryptolocker si diffonde tramite un allegato di posta elettronica. Adottando un metodo di camuffamento si presenta tramite un allegato di tipo ZIP, che contiene un file eseguibile. Di fatto, il file in questione non risulta visibile come “.exe” ma come “. .exe”. In questo modo, gli attaccanti sfruttano il fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come “.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo. Una volta installato, il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica e salva ogni file cifrato in una chiave di registro.
Il software, quindi, informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere effettuato entro 72/100 ore, altrimenti la chiave privata viene cancellata definitivamente rendendo impossibile ripristinare i file. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata già precaricata. Se Cryptolocker viene rimosso, e la cifratura è iniziata, i file già cifrati rimangono inutilizzabili. L’unica soluzione, oltre la prevenzione, è quella di implementare difese adeguate per non far agire il malware.
