Attenzione al ransomware su Chrome
C’è un nuovo tipo di “pizzo elettronico”, in gergo ‘ransomware’, che sta prendendo di mira gli internauti italiani fingendo di essere Chrome, il popolare programma di Google per navigare su Internet. Il codice dannoso, che prende in “ostaggio” i file sui computer degli utenti, è stato individuato dalla società Eset.
Secondo i ricercatori di Eset nella prima settimana di gennaio gli internauti italiani sono stati i più colpiti a livello mondiale dalle diverse varianti del ransomware Filecoder (Ransom32), con il 6,35% delle infezioni. Il software, appunto, finge di essere il file necessario a eseguire il browser Chrome di Google.
Ransom32 si caratterizza per alcuni dettagli difficili da trovare su altro software della stessa categoria. Le sue dimensioni pachidermiche, ad esempio, non sono tipiche fra i ransomware: il nuovo malware “pesa” infatti 32MB, laddove altri ransomware non superano nemmeno il singolo megabyte per essere il più trasparenti possibile in fase di installazione sul computer target. Wosar ha comunque precisato che non si tratta di qualcosa che lo rende meno efficace.
L’esperto di sicurezza ha paragonato infatti Ransom32 a CryptoLocker per quanto riguarda la complessità della crittografia utilizzata. Fra le stranezze, gli autori alla base del nuovo ransomware hanno deciso di lanciarlo durante le feste natalizie, periodo in cui solitamente la gente si trova fuori casa, e non di fronte al PC. È probabile che la scelta sia dovuta alle intenzioni degli sviluppatori di tenere Ransom32 fuori dai radar nei primi tempi.
Un’altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome “ChromeService”. In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l’uso di tutti i file, i quali vengono protetti con una chiave crittografica che l’utente non può sapere.
La chiave AES viene memorizzata insieme ai dati crittografati, con le vittime che hanno quattro giorni per effettuare il pagamento, dopo di che viene aggiunta un’ulteriore penale. Il software mostra inoltre di essere in grado di sovvertire la protezione crittografica sbloccando un singolo file, con il pagamento che risulta invece necessario per ottenere nuovamente l’accesso a tutti i file del sistema. Se il riscatto non vien pagato entro sette giorni dal primo avviso la chiave AES sarà distrutta e tutti i file crittografati potrebbero non essere più ripristinati.
Per proteggersi, al momento, Wosar consiglia di effettuare un backup della propria macchina e conservarlo con estrema cautela.
