In questo scorcio finale di estate altri pericolosi virus “ransomware” si sono affacciati nel panorama mondiale e costituiscono una seria minaccia per qualunque sistema informatico.

«Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione» (definizione di Wikipedia).

Si tratta di un vero e proprio fenomeno di criminalità diffusa, essendo ormai sorti dei veri e propri “programmi di affiliazione” per creare questi virus “personalizzati” che chiunque, in teoria, potrebbe commissionare:  Shark ed Atom sono gli ultimi di questi due e promettono “totale personalizzazione” (sic!), la traduzione nella lingua desiderata dei messaggi con la richiesta di riscatto, l’automazione delle operazioni di cifratura e di decifratura (a pagamento avvenuto), algoritmi veloci ed irrintracciabilità da parte degli antivirus.

atom

Sono stati addirittura creati dei codici malevoli,  per così dire, di secondo livello: è il caso del virus “Stampado”, che riesce ad installarsi su computer precedentemente infettati in fase di decrtittatura dei files conseguente al pagamento del primo riscatto: se ciò accade, l’ignaro utente sarà costretto a pagare una seconda volta per riavere i suoi documenti.

All’ultima variante di ransomware è stato attribuito il nomignolo “Locky” che si diffonde  attraverso un’email con un oggetto tipo “ATTN: Fattura J-656823454“.

Una prima versione di tale virus si diffondeva attraverso il classico allegato zip: è stata poi individuata una ulteriore variante che, in maniera più subdola, usa un allegato Word, aprendo il quale sono possibili due alternative:

  • Se il proprio MS-WORD ha già abilitata l’apertura di macro, l’infezione è irrimediabile;
  • Se non sono state abilitate le macro, il documento recherà un testo incomprensibile e per la relativa lettura verrà “raccomandato” di abilitare lemacro “se la codifica dei dati non è corretta“.  Una volta raccolto l’invito, l’infezione si diffonderà.

La macro provvede, in men che non si dica, al download del codice malevolo che  procede a crittografare tutti i file che trova  (.7z; .rar; .m4a; .wma; .avi; .wmv; .csv; .d3dbsp; .sc2save; .sie; .sum; .ibank; .t13; .t12; .qdf; .gdb; .tax; .pkpass; .bc6; .bc7; .bkp; .qic; .bkf; .sidn; .sidd; .mddata; .itl; .itdb; .icxs; .hvpl; .hplg; .hkdb; .mdbackup; .syncdb; .gho; .cas; .svg; .map; .wmo; .itm; .sb; .fos; .mcgame; .vdf; .ztmp; .sis; .sid; .ncf; .menu; .layout; .dmp; .blob; .esm; .001; .vtf; .dazip; .fpk; .mlx; .kf; .iwd; .vpk; .tor; .psk; .rim; .w3x; .fsh; .ntl; .arch00; .lvl; .snx; .cfr; .ff; .vpp_pc; .lrf; .m2; .mcmeta; .vfs0; .mpqge; .kdb; .db0; .DayZProfile; .rofl; .hkx; .bar; .upk; .das; .iwi; .litemod; .asset; .forge; .ltx; .bsa; .apk; .re4; .sav; .lbf; .slm; .bik; .epk; .rgss3a; .pak; .big; .unity3d; .wotreplay; .xxx; .desc; .py; .m3u; .flv; .js; .css; .rb; .png; .jpeg; .txt; .p7c; .p7b; .p12; .pfx; .pem; .crt; .cer; .der; .x3f; .srw; .pef; .ptx; .r3d; .rw2; .rwl; .raw; .raf; .orf; .nrw; .mrwref; .mef; .erf; .kdc; .dcr; .cr2; .crw; .bay; .sr2; .srf; .arw; .3fr; .dng; .jpeg; .jpg; .cdr; .indd; .ai; .eps; .pdf; .pdd; .psd; .dbfv; .mdf; .wb2; .rtf; .wpd; .dxg; .xf; .dwg; .pst; .accdb; .mdb; .pptm; .pptx; .ppt; .xlk; .xlsb; .xlsm; .xlsx; .xls; .wps; .docm; .docx; .doc; .odb; .odc; .odm; .odp; .ods; .odt), estendendosi anche alle eventuali unità rimovibili collegate in quel momento e alle mappature di rete: il robusto algoritmo usato per la cifratura (SHA256) rende impossibile qualsiasi tentativo di decifratura manuale.

Quando tutti i file sono crittografati, viene chiesto il pagamento per decodificarli, da eseguirsi rigorosamente in “bitcoin”:  nonostante tale pagamento, peraltro, non sempre si riesce a riottenere i propri dati.

ransomware-cryptolocker

Di fronte a tale preoccupante fenomeno, la raccomandazione è seguire alcune regole di prudenza:

  1. Eseguire frequentemente (almeno due volte la settimana) un backup completo dei propri dati e documenti, su supporti non collegati ai sistemi solitamente utilizzati;
  2. Leggere con attenzione l’anteprima delle mail ricevute e verificare l’indirizzo del mittente prima di aprire i relativi allegati: un possibile indizio è che molto spesso il contenuto delle mail è totalmente sgrammaticato, essendo frutto delle approssimative traduzioni automatiche;
  3. Tenere il proprio antivirus sempre aggiornato;
  4. Mantenere disabilitate le macro di Ms Office. Nelle versioni di Office più recenti le macro sono disabilitate di default proprio per motivi di sicurezza e non esistono ragioni per cui un normale documento di testo abbia necessità dell’attivazione delle stesse.
  5. Per gli utilizzatori del Sistema Operativo Windows è buona norma mantenere visibili le estensioni dei file ed utilizzare un account standard invece che amministrativo.
  6. Si fa infine presente che i filtri antispam di Gmail sono molto più efficaci di quelli dei provider italiani (Tim, Libero, Tiscali, etc.) e rappresentano un primo ed efficace baluardo contro questa tipologia di software dannosi.