Un nuovo nuovo ceppo di ransomware colpisce computer senza sosta su larga scala da qualche giorno. Benché la maggior parte degli utenti infetti si trovi al momento in Germania, la superficie d’attacco sembra espandersi con sorprendente rapidità. Non è certo a questo punto quale sindacato del crimine cibernetico sia responsabile di tali attacchi, ma l’operazione con il trojan evidentemente riflette le peggiori pratiche di estorsione digitale. Ciò che succede è che i file personali della vittima vengono criptati, e i loro nomi si trasformano in sequenze senza senso di 32 numeri e caratteri seguiti dall’estensione .locky. Il sistema operativo preso di mira identifica tali oggetti come file LOCKY che non possono essere aperti a prescindere dal software a cui si fa ricorso.
Questa aggressione è inoltre caratterizzata da un certo numero di attributi distintivi oltre alla disgustosa compromissione dei file. Il ransomware modifica lo sfondo del testo dell’utente attaccato con messaggi di avviso, il cui testo viene reiterato nei file di nome _Locky_recover_instructions.txt. È plurale perché il sopraccitato documento TXT si può trovare all’interno di ogni singola cartella che conserva oggetti bloccati che utilizzano i dati personali dell’utente vittima. Si tratta essenzialmente di istruzioni per il pagamento di un riscatto che fanno luce su quello che è successo ai file e forniscono una guida per quanto riguarda le opzioni di recupero.
In particolare, il messaggio recita:
“!!! Informazione importante!!!! Tutti i tuoi file sono stati criptati con cipher RSA-2048 e AES-128. La decriptazione dei tuoi file è possibile soltanto tramite chiave privata e programma di decriptazione, che si trova sul nostro server segreto.”
In parole povere, questo significa che il virus con l’estensione file a .locky sfrutta un sistema di crittografia asimmetrico per criptare i file e anche un cipher simmetrico per codificare adeguatamente i nomi dei file.
Come risultato, la vittima non può aprire le proprie immagini, documenti e video e non può nemmeno determinare quale entrata corrisponda a quale file sul proprio hard disk. A questo punto, gli estorsori raccomandano una “panacea”, che affermano sia capace di decodificare ogni cosa in cambio di un pagamento. Si chiama Locky Decrypter. Per poter utilizzare questo strumento, la persona colpita deve visitare un Tor gateway specificato nel file _Locky_recover_instructions.txt ed inviare 0.5 BTC verso un indirizzo Bitcoin indicato sulla pagina. L’uso della tecnologia The Onion Router ed il flusso di pagamento tramite cripto-valuta sono le precauzioni che gli estorsori adottano per rimanere anonimi e per aggirare la legge. Sfortunatamente, la maggior parte di questi estorsori riesce a rimanere a piede libero e continua a coniare nuovi tipi di ransomware.
La propagazione del virus .locky si affida a una truffa di ingegneria sociale. In particolare, prima di venire infettate, la maggior parte delle persone ricevere messaggi nocivi e-mail dal titolo “ATTN: Invoice J-68522931” (le 8 cifre possono variare). Questi messaggi fingono di rappresentare fatture provenienti da General Mills, ma così non è. Il documento Microsoft Word allegato rappresenta l’oggetto che esegue il ransomware non appena l’utente ignaro lo apre. I kit di exploit, i quali generalmente rappresentano un metodo di contaminazione più sofisticato, non sono coinvolti nella campagna .locky al momento.
Non è una buona idea pagare il riscatto ed acquistare il programma Locky Decrypter. Questo è ciò per cui i cybercriminali insistono, ma certamente non è nei migliori interessi dell’utente colpito. Dato che questo ransomware potrebbe non riuscire a disabilitare il Servzio Volume Shadow Copy sulla macchina, ha senso applicare un paio di tecniche intelligenti per poter recuperare i dati criptati.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che .locky ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione .locky elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da .locky sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di .locky non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che .locky sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.