Una nuova ondata di attacchi del ransomware Cryptolocker sta colpendo in questi giorni molti utenti italiani. A lanciare l’allarme sono i laboratori di Trend Micro, che hanno riscontrato il ritorno della minaccia sotto forma di una nuova variante ancora più temibile.
In pratica, si tratta di un malware che tiene in “ostaggio” il computer fino a quando l’utente non paga un vero e proprio riscatto in denaro per ricevere in cambio le istruzioni su come sbloccarlo. Il Ransomware Cryptolocker, una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows, criptando quasi immediatamente tutti i dati presenti sul disco rigido. Il pagamento del riscatto, inoltre, in molti casi si rivela una trappola nella trappola perché la durata dei server che contengono le chiavi per decriptare i file è limitata e varia da poche ore a qualche giorno.
Ma come funziona Cryptolocker?
Cryptolocker si diffonde tramite un allegato di posta elettronica: si camuffa presentandosi tramite un allegato di tipo ZIP che contiene un file eseguibile. Il file, infatti, non è visibile come “nomefile.exe” ma come “nomefile.pdf/docx/ecc.exe”, sfruttando il fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato sfugge al controllo dell’utente, che è indotto ad aprirlo ed eseguirlo.
Una volta installato, il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica e salva ogni file cifrato in una chiave di registro. Il software, quindi, informa l’utente di aver cifrato i file e richiede un riscatto intorno ai 300 euro (da versare con un voucher anonimo e prepagato) oppure 0.5 Bitcoin per decifrare i file. Il pagamento deve essere effettuato entro 72/100 ore, altrimenti la chiave privata viene cancellata definitivamente rendendo impossibile ripristinare i file. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata già precaricata. Se Cryptolocker viene rimosso, e la cifratura è iniziata, i file già cifrati rimangono inutilizzabili.
