Tornano i ransomware: i file degli utenti come ostaggio

I “ransomware” stanno tornando. Lo affermano alcuni ricercatori attivi nel campo della sicurezza informatica. “Sono al momento in corso due differenti attacchi“, ha spiegato Chet Wisniewski di Sophos riferendosi al fatto che sembrano essere stati posti in circolazione più campioni malware diversi uniti da un filo conduttore: tutti, una volta in esecuzione sul sistema dell’utente, cifrano i file di sua proprietà chiedendo il versamento di una somma pari a 120 dollari. Un vero e proprio ricatto, insomma. Il “ransomware” (ved. anche questo materiale) prende “in ostaggio” file personali dell’utente rendendone impossibile la consultazione senza conoscere la chiave utilizzata per crittografarli.
Wisniewski ha aggiunto che al momento non si conoscono modalità efficaci per “liberare” i file posti sotto scacco dal “ransomware” sebbene i tecnici di Sophos siano ancora al lavoro nell’individuzione di una possibile soluzione. “Attacchi di tipo brute-force sembrano non avere successo“, ha affermato l’esperto di Sophos facendo riferimento alla chiave a 1024 bit che protegge i file cifrati dal malware. “Stiamo controllando le modalità con le quali le chiavi vengono generate. Se le chiavi prodotte fossero in qualche modo prevedibili, potremmo essere in grado di distribuire uno strumento gratuito per il recupero dei file crittografati dal ransomware“.

Anche Kaspersky ha confermato la rilevazione di una nuova ondata di “ransomware” ed ha aggiunto che alla base dello sviluppo dei nuovi malware potrebbero versosimilmente esservi gli stessi autori di “GpCode” (ved. quest’articolo) che era apparso, per la prima volta, addirittura sei anni fa tornando ad impazzare in Rete a metà 2008. “Diversamente rispetto alla precedente versione“, si spiega da Kaspersky, “i file originali non vengono cancellati dopo la creazione degli elementi crittografati. I file dell’utente, memorizzati in chiaro sul disco, vengono adesso completamente sovrascritti rendendo praticamente impossibili attività di recupero dei dati utilizzando software specializzati“. I tecnici di Kaspersky, infatti, avevano infatti suggerito, in passato, l’uso di PhotoRec oppure di utilità simili (ved., ad esempio, questi nostri articoli). L’espediente non sembra applicabile con le nuove versioni di “GpCode” proprio a causa dell’attività di wiping eseguita sui file originali.