Crypto-Locker e la sua ennesima variante letale:
TeslaCrypt 3.0.
I cd. “ransomware” sono virus informatici potenzialmente dannosissimi: aggrediscono tutti i documenti (di qualsiasi genere) contenuti sui PC infettati ma soprattutto sugli archivi di rete e dunque su file server; al termine della procedura di cifratura che rende inservibili i file, segue una comunicazione con la richiesta del pagamento del riscatto per ottenere la restituzione del materiale.
L’infezione riguarda anche l’Italia che è uno dei Paesi più colpiti dall’ondata di attacchi, forse per la pessima ma radicata abitudine che hanno gli utenti, di cliccare ed eseguire qualsiasi file allegato ad una e-mail.
Il virus in effetti arriva generalmente attraverso una e-mail (con i soggetti più disparati e messaggi provenienti da contatti noti ed in rubrica).
Se in un recente passato i ransomware di questo tipo, erano veicolati alle vittime per mezzo di false fatture o note di credito allegate e/o rese disponibili tramite link contenuti nel messaggio, è diventata via via più frequente la “classica” mail con codici di tracking di corrieri espresso o bollette elettriche / telefoniche provenienti da ogni genere di compagnia.
Nella versione attuale l’e-mail non ha alcun testo se non la data d’invio, talvolta identica a quella inserita nell’oggetto, ed ha un allegato “.ZIP” che contiene un file con estensione “.JS” (ad esempio invoice_DjzkX0.js o invoice_scan_jWNWc3.js).
Non appena viene aperto, lo script in questione (perchè di questo si tratta), attiva il cd. dropping e scarica il contenuto malevolo che infetta il client e tutto quanto ad esso collegato.
La semplice apertura del testo dell’e-mail non costituisce un pericolo in se: solo l’apertura dell’allegato scatena l’evento malevolo.
All’esito della procedura di cifratura (non visibile all’utente che non percepisce alcun problema nel frattempo) tutti file colpiti presenteranno estensioni modificate in .XXX, .TTT e .MICRO.
Il metodo con cui viene scambiata la chiave di cifratura è mutata e non risulta possibile decifrare i file criptati con gli strumenti che (in rare occasioni) pare abbiano funzionato in passato.
Terminata l’operazione di “sequestro dei file” nelle cartelle dove questi risiedono, appaiono i file help_recover_instructions.BMP e help_recover_instructions.TXT.
Viene infine richiesto un riscatto generalmente di 500 dollari da pagare in bitcoin (moneta virtuale non tracciabile). Trascorse alcune ore dalla richiesta, il riscatto raddoppia. Dopo un’ ulteriore lasso di tempo la chiave di cifratura viene eliminata e non c’è più modo di recuperare i dati, se non prelevandoli da un backup che NON sia stato però a sua volta INTACCATO dal VIRUS.
Gli antivirus purtroppo non sempre si sono rivelati utili contro questo flagello, le cui varianti vengono rilasciate più rapidamente delle firme antivirus più diffuse.
Prima di andare via ti suggerisco di leggere questi:
