Il malware Ransomware torna a far parlare di se

Il Ransomware torna a fare parlare di se; E’ da qualche hanno che il malware ransomware fa parlare di se con le diverse varianti, più o meno fastidiose che hanno prevalentemente colpito i frequentatori di siti porno, di siti warez, ma anche utenti di sistemi di download peer 2 peer (emule, u-torrent, ecc) e gli utilizzatori poco attenti della posta elettronica.

Che cos’è un ransomware e come funziona

Il ransomware è un malware che quando infetta la macchina la “prende letteralmente in ostaggio”, mostrando una schermata, l’unica a cui poter accedere, dove generalmente viene richiesto il pagamento di una somma per poterla sbloccare. Tipicamente si diffondo come i trojan e i worm, accedendo al sistema tramite un file infetto scaricato oppure tramite una vulnerabilità nei servizi di rete. Questa tipologia di malware, inizialmente diffuso in Russia, ha diverse varianti che agiscono con procedimenti differenti che possono causare più o meno fastidi come ad esempio: il così detto “virus della polizia, gdf, carabinieri, ecc”, che non è troppo difficile da debellare e che in genere nasconde il desktop, disabilita tutte le funzionalità del pc come ad esempio il task manager, i tasti funzione e la pressione di qualsiasi altro tasto, presentandosi senza tanti complimenti con una facciata fake di qualche agenzia governativa, che si adatterà automaticamente a seconda dell’ip della macchina attaccata (quindi messaggio nella lingua corretta e con corpo di polizia corretto) e in cui viene accusato il mal capitato d’aver visionato e/o scaricato materiale per qualche motivo illegale e a cui viene “presentato il conto” per le sue “malefatte”.

Un esempio invece di ransomware per niente bello da incontrare è il cryptolocker che come il nome fa intuire, crypta interamente il contenuto del pc con un algoritmo la cui decifrazione richiederebbe centinaia di anni perfino per i super computer della NASA. L’unico modo per rientrare in possesso dei propri files, se non si possiede un backup, sarà il pagamento del riscatto dopo il quale si riceverà una chiave di decryptazione.

Se nel 2015 non era affatto improbabile imbattersi nella schermata del così detto “virus della polizia postale, carabinieri, guardia di finanza, fbi, cia…” o nella schermata di blocco del famigerato CryptoLocker il 2016 sembra riservare nuove sorprese a tal proposito.

L’azienda di sicurezza virtuale Emsisoft ha infatti rilevato e studiato un nuovo ceppo di ransomware chiamato Ransom32 e che consente ai “pirati” di distribuire il malware molto più rapidamente e facilmente di prima, è dotato di una dashboard di controllo che consentirebbe agli operatori di designare il loro indirizzo Bitcoin a cui inviare tutte le somme incassate e che mostra persino le statistiche su quanti Bitcoin sono stati guadagnati.

Questo nuovo ceppo non si distingue solo per la facilità di programmazione, utilizzo, infezione, ma anche per la sua nuova struttura, scritto in JavaScript, che oltre a renderne ancora più difficile l’identificazione da parte degli antivirus ne permette l’infezione di quasi la totalità dei sistemi operativi in commercio ossia Windows, Mac ed anche Linux.

Il Ransom32 è inserito in un archivio WinRAR autoestraente e utilizza la piattaforma NW.js per infiltrarsi nei computer delle vittime, e poi crittografando i files mediante algoritmo AES a 128 bit.
Non appena viene installato e lanciato, Ransom32 si collega ad un server command-and-control (C & C) sulla rete TOR, che ne rende irrintracciabile l’ubicazione, visualizzando la richiesta di riscatto con tutte le varie caratteristiche già menzionate e che potete osservare nell’immagine di seguito.

Attualmente Wosar, fondatore della Emsisoft, ha potuto osservare Ransom32 come vettore di attacco solamente verso Windows, ma il quadro NW.js può essere eseguito su tutti e tre i principali sistemi operativi. Probabilmente è solo questione di tempo.

Come proteggersi da Ransomware

Sebbene per incappare in questo genere di minacce bisogna essere un po’ frequentatori dei bassifondi di internet, o sbadati internauti seguendo alcune regole basilari è possibile scampare o aggirare a questa minaccia virtuale.

• Fare sempre un backup dei dati importanti
• Avere un antivirus con protezione in tempo reale (decente) attivo
• Non aprire allegati di posta elettronica provenienti da fonti sconosciute o se proprio ci tenete a farlo utilizzate un programma di virtualizzazione come sandboxie o di difesa mirata come CryptoPrevent, Hitman Pro., BitDefender Anti-CryptoBlocker…
• Non mantenere costantemente supporti esterni come hard-disk e chiavette usb collegate al pc, (soprattutto quello con il backup), ransom32 si espande non solo sui supporti esterni, ma anche su computer connessi in rete tra loro.
• Per ultimo, ma non meno importante cercare di evitare siti malfamati o creati/gestiti da amministratori poco esperti o privi discrupoli.