Video: Come sbloccare i file criptati da un ransomware (Settembre 2024)
I ricercatori hanno scoperto una nuova variante del ransomware CryptoLocker che potrebbe potenzialmente infettare anche più utenti rispetto alla versione originale.
I criminali dietro CryptoLocker sembrano aver modificato il ransomware da un Trojan in un worm diffondente USB, recentemente i ricercatori di Trend Micro hanno scritto sul suo blog Security Intelligence. Come Trojan, CryptoLocker non poteva diffondersi da solo per infettare i computer degli utenti. Faceva affidamento sugli utenti per aprire un allegato e-mail o fare clic su un collegamento in un messaggio e-mail, per eseguire e installarsi sul computer. Come worm, tuttavia, CryptoLocker può replicarsi e diffondersi tramite unità rimovibili.
Se hai bisogno di un aggiornamento, CryptoLocker è un ransomware. Questo è un tipo di malware che blocca i file sul tuo computer e richiede un riscatto per sbloccare i file. I file sono crittografati, quindi la rimozione del malware non rilascia i file. L'unico modo per recuperare i file è pagare i criminali qualunque sia la quantità selezionata (gli attacchi recenti hanno richiesto richieste di BitCoin) o semplicemente cancellare il computer e ripristinare dal backup.
La nuova versione del malware finge di essere un attivatore di software come Adobe Photoshop e Microsoft Office su siti di condivisione di file peer-to-peer (P2P), ha affermato Trend Micro. Il caricamento del malware sui siti P2P consente ai malintenzionati di infettare facilmente i sistemi senza preoccuparsi dei messaggi di spam, secondo il post del blog.
"I cattivi dietro questa nuova variante non devono lanciare una campagna di posta elettronica spam per diffondere il loro malware", ha dichiarato Graham Cluley, un ricercatore di sicurezza.
Come un verme infetta
Immagina uno scenario semplice. Prendi in prestito un'unità USB per spostare un file da un computer a un altro o per dare a qualcuno una copia del file. Se quell'unità fosse infettata dal worm CryptoLocker, tutti i computer a cui l'unità connessa sarebbero stati infettati. E se quel computer è connesso a una rete, il lavoro di Cryptolocker può cercare altre unità connesse.
"Potrebbe rendere più facile per CryptoLocker infettare i PC all'interno dell'organizzazione", ha affermato Cluley.
C'è un buon segno su questa nuova variante, però. Il malware originale CryptoLocker utilizzava l'algoritmo di generazione del dominio (DGA) per generare periodicamente un gran numero di nomi di dominio per connettersi al server di comando e controllo (C&C). La nuova versione di CryptoLocker, d'altra parte, non utilizza DGA poiché l'URL dei server di comando e controllo sono codificati nel ransomware, ha affermato Trend Micro. Ciò semplifica il rilevamento e il blocco degli URL dannosi correlati.
Tuttavia, ciò potrebbe significare solo che il malware è ancora in fase di perfezionamento e miglioramento e che le versioni successive del worm potrebbero avere la funzionalità DGA, ha avvertito Trend Micro. Una volta incluso DGA, sarebbe più difficile rilevare e bloccare il ransomware.
Cosa faccio?
Trend Micro e Cluley avevano alcuni consigli su cosa fare:
Gli utenti dovrebbero evitare di utilizzare siti P2P per ottenere copie di software e attenersi a siti ufficiali o affidabili.
Gli utenti dovrebbero anche essere estremamente attenti a collegare le unità USB ai propri computer. Se ne hai trovato uno in giro, non collegarlo per vedere cosa potrebbe esserci sopra.
"Assicurati di seguire le pratiche di elaborazione sicura e di fare attenzione a ciò che esegui sui tuoi computer e non dimenticare di mantenere aggiornato l'antivirus e il tuo ingegno nei tuoi confronti", ha affermato Cluley.
