Sono stati battezzati “ransomware” quei particolari malware che, una volta insediatisi sul sistema, bloccano l’accesso a determinati file o risorse di proprietà dell’utente. Tali componenti nocivi sono spesso soliti crittografare file e documenti personali rendendone impossibile la consultazione. Il termine “ransom“, in inglese, significa “riscatto”: gli sviluppatori dei malware apparantenenti a questa tipologia, infatti, richiedono un corrispettivo economico variabile per fornire all’utente le password o comunque le istruzioni per “sbloccare” i propri file.
Di “ransomware” abbiamo parlato spesso (ved. questi nostri articoli) offrendovi anche gli strumenti per scardinare gli algoritmi crittografici utilizzati in alcuni casi. Come tuttavia spiegava Sophos a fine dicembre (ved. questo articolo), non sempre – una volta che il malware si è insediato il sistema – è possibile recuperare i propri file. Negli ultimi esemplari di “ransomware“, infatti, sono state impiegate chiavi crittografiche RSA a 1024 bit, oggi ancora tutt’altro che semplici da “scardinare”.
L’informazione e la prevenzione restano quindi le migliori difese. L’allerta è stato lanciato quest’oggi dal CNAIPIC italiano (“Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche“) e riguarda la scoperta di un nuovo “ransomware” che mira a prendere in ostaggio l’intero personal computer. Come spiega Marco Giuliani (l’individuazione del malware è frutto della collaborazione tra CNAIPIC e Prevx), il “ransomware“, che appare una variante di una nota minaccia conosciuta col nome “MBRLock“, una volta in esecuzione, salva una copia del MBR del disco fisso spostandola nel settore 1 e sovrascrivendo il contenuto del settore 0 con il proprio codice nocivo.
Al successivo riavvio del sistema, l’utente si trova davanti ad una schermata come quella riportata in alto a sinistra e recante il messaggio: “Attention! Windows activation period is exceeded. This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code. This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***. Registration code must be entered not later then three days, if it entered later the unlocking is not possible“.
Con un messaggio truffaldino si induce l’utente a credere che la propria copia di Windows sia stata installata ed utilizzata in modo illecito e lo si invita a contattare un numero telefonico con prefisso 899 in modo da ottenere un codice di sblocco. Tale numerazione una volta raggiunta, esporrà l’utente a costi non indifferenti che gli saranno addebitati sul conto telefonico.
Giuliani spiega che, analizzando il codice del malware, si è potuto evincere come non venga effettuato alcun controllo sulla password inserita ma solo sulla sua lunghezza. Inserendo 14 caratteri a caso, il sistema verrà immediatamente sbloccato e l’MBR originale sarà automaticamente ripristinato.
Il “ransomware” appare studiato per gli utenti italiani, svizzeri, belgi ed austriaci dal momento che le numerazioni a valore aggiunto sono state attivate proprio in questi Paesi. Nel caso in cui l’utente utilizzi Windows in una nazione differente da quelle citate, viene mostrato un numero telefonico 899 internazionale, attivato nello stato del Liechtenstein.
I veicoli d’infezione sono i soliti, anche nel caso di quest’ultima variante di “MBRLock“. Il malware, infatti, arriva dai circuiti peer-to-peer, mascherandosi sotto forma di software legittimo e conosciuto, da siti web ospitanti materiale in violazione delle leggi sul diritto d’autore e da pagine che sfruttano vulnerabilità del browser per installare elementi nocivi.
Il MBR (“Master Boot Record“), lo ricordiamo, è il settore di avvio presente sul disco fisso che contiene informazioni di importanza cruciale per il corretto caricamento del sistema operativo. Il MBR occupa i primi 512 byte dell’hard disk e conserva la tabella delle partizioni, utilizzata dal sistema per stabilire quale partizione è impostata come “attiva”. Allorquando, per i motivi più disparati, le informazioni presenti nel MBR dovessero danneggiarsi o venissero modificate in modo inadeguato, il rischio è quello di non poter più avviare normalmente il sistema operativo installato sul disco fisso. Maggiori informazioni possono essere reperite in quest’articolo.