«Lo scorso week-end abbiamo isolato un nuovo ransomware che cripta i files nell’hard disk e chiede il pagamento di una determinata cifra come riscatto per riavere i documenti. Il trojan non è proprio una novità, ma si tratta di una nuova variante di un vecchio password stealer che avevamo già individuato nei mesi scorsi. Quest’ultima variante ha inoltre funzioni di ransomware»: così Marco Giuliani segnala quanto scoperto nel weekend relativamente ad un nuovo malware che tenta di ‘sequestrare’ i dati dell’utente chiedendo un riscatto per la loro ‘liberazione’.
Spiega Pc al Sicuro: «se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi […] Questo permette al malware di partire in posizione privilegiata all’avvio del sistema, prima rispetto a molti altri processi. Crea inoltre una directory nascosta sotto system32, chiamata wsnpoem che contiene video.dll e audio.dll». Il malware scansiona l’hard disk per cercare file di varia estensione (comprese tutte le più note) e provvede a criptarli. A questo punto un messaggio viene immesso in ogni singola directory modificata: «ciao, i tuoi file sono stati crittografati con algoritmo RSA-4096. Avrai bisogno di anni per decrittare i file senza il nostro software. Tutte le tue informazioni private per i prossimi 3 mesi saranno raccolte ed inviate a noi. Per decrittare i tuoi file devi comprare il nostro software. Il prezzo è di 300 dollari».
Fortunatamente l’algoritmo usato non è in realtà così sofisticato: secondo Prevx «i file non sono così ben criptati e possono essere decodificati. Non è necessario pagare 300 dollari per decodificare i file, semplicemente scaricate il nostro tool».
Il sito ufficiale Prevx segnala peraltro la presenza di un file di log con nomi di importanti gruppi quali HP o U.S. Dept. of Transportation che potrebbero potenzialmente essere caduti vittima dell’infezione.