Il nuovo Cryptowall codifica i nomi dei file e si prende gioco delle proprie vittime

Gli autori del temibile malware crittografico denominato Cryptowall hanno aggiunto alla propria “creatura” alcuni tratti peculiari che, di sicuro, complicheranno ulteriormente la vita sia agli analisti di virus, sia a coloro che cercano di recuperare i file criptati senza dover pagare il riscatto.

La scorsa settimana, i ricercatori di Bleeping Computer hanno individuato una nuova variante di Cryptowall, in grado di cifrare non soltanto i file dell’utente-vittima, ma anche i nomi degli stessi. “Questo riduce considerevolmente la possibilità di recuperare i file; è decisamente più facile pagare il riscatto, – ha riconosciuto Nathan Scott, ricercatore indipendente, autore dell’analisi assieme agli esperti di Bleeping Computer. – Al momento di ripristinare i dati, durante l’analisi forense condotta, i file sono apparsi con nomi strani; non vi è quindi alcuna possibilità, per l’utente, di poterli in qualche modo riconoscere. Allo stesso modo, è divenuto in pratica impossibile comprendere la struttura stessa dei file”.

“L’unico modo per recuperare i dati è quello di poter disporre di un backup completo degli stessi; se non si hanno copie di backup, occorre procedere al pagamento del riscatto”, – ha concluso l’esperto.

Gli “operatori” del blocker hanno ugualmente aggiornato il testo del messaggio indirizzato alla vittima, attraverso il quale viene richiesto il pagamento di una determinata somma di denaro. I cybercriminali, innanzitutto, con una certa dose di cinismo, si complimentano con l’utente per il fatto di essere entrato a far parte della “grande community di Cryptowall”, spiegando che il progetto sarebbe stato lanciato allo scopo di migliorare le conoscenze nella sfera della sicurezza informatica, e per certificare l’efficacia dei prodotti antivirus. I malintenzionati, inoltre, hanno appositamente creato l’hashtag #CryptowallProject, per far sì che le vittime del ransomware possano condividere con altri utenti, sui social network, le loro disavventure; un elevato numero di “lamentele”, secondo Nathan Scott, rappresenterebbe un vantaggio per gli operatori del malware, in quanto le vittime, in tal modo, sarebbero più facilmente indotte a pagare.

cryptowall_news

A livello di redditività, Cryptowall supera di gran lunga tutti i propri “confratelli”. Secondo un report stilato di recente dall’associazione di settore Cyber Threat Alliance (CTA), l’apparizione sulla scena della versione Cryptowall 3.0 è già costata alle vittime, complessivamente, ben 325 milioni di dollari. Non è ancora chiaro, per il momento, se la scoperta di Bleeping Computer rappresenti, di fatto, una nuova versione del crypto-ransomware (4.0), come suppongono i ricercatori, oppure si tratti, semplicemente, di una release tecnica.

Il nuovo Cryptowall viene distribuito, così come i suoi predecessori, attraverso allegati malevoli inseriti nei messaggi di posta elettronica, camuffati sotto forma di documenti Word (fattura o curriculum vitae). In realtà, tali file contengono un JavaScript eseguibile, preposto a generare il download del ransomware in causa.

La nuova variante del cryptoblocker è ugualmente in grado di sopprimere tutti i punti di ripristino. “A volte, la vittima del tentativo di cyber-estorsione è fortunata, in quanto il malware non elimina gli eventuali punti di ripristino, oppure perché l’attacco non riesce, e risulta quindi possibile ricondurre il sistema ad una data anteriore all’infezione, ripristinando così lo stato precedente, – ha asserito Scott. – Con la versione 4.0 un simile scenario non si rivela più possibile”.

Per quel che è noto, una volta effettuato il pagamento del riscatto, gli “operatori” di Cryptowall inviano quasi sempre la chiave occorrente per la decodifica dei file in precedenza cifrati; la stessa cosa, invece, non si verifica molto di frequente nel caso dei malware “concorrenti”. “Questi malfattori conducono la propria attività come dei veri e propri businessmen, e il loro modello sembra davvero funzionare, – ha dichiarato Nathan Scott. – Essi hanno perfettamente capito che, se intendessero raggirare subdolamente tutti quanti, o perlomeno un gran numero di utenti, nessuno vorrebbe più pagare; per tale motivo, i cybercriminali in questione hanno adottato una precisa regola, ovvero quella di ripristinare l’accesso ai file per (quasi) tutti coloro che provvedono al pagamento del riscatto”.

La stessa FBI ha di recente consigliato, alle vittime di simili cyber-estorsioni, di pagare la somma di denaro richiesta, soprattutto nel caso in cui si tratti di un’infezione provocata dal famigerato Cryptowall. La stima fornita dall’FBI, riguardo ai danni causati dall’attività di tale programma malware, è tuttavia molto più contenuta, rispetto all’analoga valutazione effettuata dal gruppo CTA, visto che la stessa si attesta su un valore pari a 18 milioni di dollari.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *