Il Ransomware torna a fare parlare di se; E’ da qualche hanno che il malware ransomware fa parlare di se con le diverse varianti, più o meno fastidiose che hanno prevalentemente colpito i frequentatori di siti porno, di siti warez, ma anche utenti di sistemi di download peer 2 peer (emule, u-torrent, ecc) e gli utilizzatori poco attenti della posta elettronica.
Che cos’è un ransomware e come funziona
Un esempio invece di ransomware per niente bello da incontrare è il cryptolocker che come il nome fa intuire, crypta interamente il contenuto del pc con un algoritmo la cui decifrazione richiederebbe centinaia di anni perfino per i super computer della NASA. L’unico modo per rientrare in possesso dei propri files, se non si possiede un backup, sarà il pagamento del riscatto dopo il quale si riceverà una chiave di decryptazione.

Se nel 2015 non era affatto improbabile imbattersi nella schermata del così detto “virus della polizia postale, carabinieri, guardia di finanza, fbi, cia…” o nella schermata di blocco del famigerato CryptoLocker il 2016 sembra riservare nuove sorprese a tal proposito.
L’azienda di sicurezza virtuale Emsisoft ha infatti rilevato e studiato un nuovo ceppo di ransomware chiamato Ransom32 e che consente ai “pirati” di distribuire il malware molto più rapidamente e facilmente di prima, è dotato di una dashboard di controllo che consentirebbe agli operatori di designare il loro indirizzo Bitcoin a cui inviare tutte le somme incassate e che mostra persino le statistiche su quanti Bitcoin sono stati guadagnati.
Questo nuovo ceppo non si distingue solo per la facilità di programmazione, utilizzo, infezione, ma anche per la sua nuova struttura, scritto in JavaScript, che oltre a renderne ancora più difficile l’identificazione da parte degli antivirus ne permette l’infezione di quasi la totalità dei sistemi operativi in commercio ossia Windows, Mac ed anche Linux.
Il Ransom32 è inserito in un archivio WinRAR autoestraente e utilizza la piattaforma NW.js per infiltrarsi nei computer delle vittime, e poi crittografando i files mediante algoritmo AES a 128 bit.
Non appena viene installato e lanciato, Ransom32 si collega ad un server command-and-control (C & C) sulla rete TOR, che ne rende irrintracciabile l’ubicazione, visualizzando la richiesta di riscatto con tutte le varie caratteristiche già menzionate e che potete osservare nell’immagine di seguito.
Attualmente Wosar, fondatore della Emsisoft, ha potuto osservare Ransom32 come vettore di attacco solamente verso Windows, ma il quadro NW.js può essere eseguito su tutti e tre i principali sistemi operativi. Probabilmente è solo questione di tempo.
Come proteggersi da Ransomware
Sebbene per incappare in questo genere di minacce bisogna essere un po’ frequentatori dei bassifondi di internet, o sbadati internauti seguendo alcune regole basilari è possibile scampare o aggirare a questa minaccia virtuale.
- Fare sempre un backup dei dati importanti
- Avere un antivirus con protezione in tempo reale (decente) attivo
- Non aprire allegati di posta elettronica provenienti da fonti sconosciute o se proprio ci tenete a farlo utilizzate un programma di virtualizzazione come sandboxie o di difesa mirata come CryptoPrevent, Hitman Pro., BitDefender Anti-CryptoBlocker…
- Non mantenere costantemente supporti esterni come hard-disk e chiavette usb collegate al pc, (soprattutto quello con il backup), ransom32 si espande non solo sui supporti esterni, ma anche su computer connessi in rete tra loro.
- Per ultimo, ma non meno importante cercare di evitare siti malfamati o creati/gestiti da amministratori poco esperti o privi discrupoli.
1