Il ransomware è un tipo di malware che impedisce all’utente colpito l’accesso al dispositivo, chiedendo un riscatto per sbloccarlo. La maggior parte dei ransomware attualmente in circolazione ha dunque come obiettivo quello di fare molti soldi in poco tempo. Una recente ricerca di G DATA ha però messo in luce un altro potenziale motivo per la distribuzione di ransomware.
Un esame dei ransomware più datati rivela immediatamente l’enorme investimento in sviluppo e controllo qualità confluitovi. Spesso estremamente elaborati, questi campioni di malware rendono deliberatamente difficile la vita di un analista, che viene condotto su false piste o da un punto morto all’altro.
Nel caso di Crypt888, invece, non si può nemmeno parlare di un ransomware nel senso classico del termine, dato che non richiede alcun riscatto per decriptare i dati.
Cercasi iscritti, disperatamente
Molti profili su YouTube cercano di accrescere in modo continuativo il numero di iscritti al proprio canale, ma utilizzare un ransomware per raggiungere questo obiettivo è un’idea davvero fuori dal comune. Qualcuno si è avvalso del network di scripting AutoIT per creare un ransomware che sembrerebbe avere questo obiettivo. Apparentemente, in caso di infezione all’utente si intima di iscriversi ad un determinato canale YouTube. È addirittura necessario inviare uno screenshot via mail a conferma dell’avvenuta iscrizione.
Semplicemente pessimo
Quando il ransomware istruisce le proprie vittime in merito alla metodologia di pagamento, le informazioni sono sempre formulate in maniera estremamente chiara e facilmente comprensibile. Ciò non avviene con Crypt888. Innanzi tutto, l’avviso di infezione da ransomware con le istruzioni per il “pagamento” viene impostato come immagine sfondo del computer della vittima, ma risulta pressoché illeggibile, in quanto non centrato sullo schermo. Solo aprendo il file impostato dal ransomware come sfondo si è in grado di leggere il messaggio, per poi riscontrare che le informazioni non sono affatto comprensibili. Peraltro, in questa fase il ransomware controlla il traffico generato su chrome.exe, firefox.exe, iexplore.exe, opera.exe, tor.exe o skype.exe per evitare che la vittima utilizzi i mezzi di comunicazione più popolari per cercare aiuto online, l’unica cosa che si può fare è ricercare esclusivamente i termini utilizzati nel messaggio, per capirne di più. I risultati della ricerca portano l’utente sul canale di YouTube a cui l’utente deve abbonarsi.
Anche la cifratura dei file risulta quasi arraffazzonata e decisamente scadente. Il ransomware crea un elenco di tutti i file presenti sul desktop, li codifica utilizzando la chiave “888” e aggiunge il prefisso “Lock” al nome originale del file. Per decriptare i file basta ripercorrere al contrario i passaggi sopra riportati con uno strumento di decriptazione. Limitiamoci a dire che i ransomware di successo funzionano diversamente…
Secondo gli analisti, lo sviluppatore in questione non avrà impiegato più di un paio d’ore per assemblare il suo ransomware. È possibile che in futuro vengano sviluppate delle varianti migliori di Crypt888, ma non c’è da preoccuparsi. Finchè decriptare i file sarà così semplice, questo ransomware “acchiappa iscritti” non sarà mai veramente efficace.
