Clan 112

Locky: si fa sul serio

Ricordate tutti le lezioni di inglese a scuola? I più virtuosi risponderebbero positivamente, a tale domanda. E se ai virtuosi venisse chiesto se conoscono il termine “ransom“? Crediamo che anche tra i meno virtuosi, c’è una folta schiera di player (ed utenti di pc in genere) che lo conosce, perché questo termine inglese, che significa “riscatto”, affiancato a “ware“, che nell’idioma anglosassone significa “articolo”, sta destando non pochi problemi, a tutti i livelli, in materia di sicurezza informatica. Infatti i ransomware fino a poco tempo fa erano degli esercizi di stile, creati da cracker informatici, mediante degli stratagemmi tutt’altro che complicati, per cercare di spillare quattrini ad utenti inconsapevoli, sbadati o poco accorti. Ma le cose stanno cambiando, infatti con l’evoluzione tecnologica, anche i criminali informatici sono riusciti a sviluppare ransomware in grado di adattarsi e “detonare” al verificarsi di determinate circostanze, di pianificare l’attacco nell’ambiente giusto, quindi di ragionare.

Tra i ransomware evoluti ce ne sono due che si stanno diffondendo come la peste: Locky virus e AutoLocky (ma ci sono minacce ancora più evolute di cui, noi, non disponiamo ancora di abbastanza materiale per trattarne un vero argomento, ma comunque hanno nomi come Zepto, Teslacrypt 3.0, Petya e SamSam giusto per dirne alcuni e che fa bene sentire … per starne alla larga!). Ma come agiscono, scopriamolo insieme.

Come si diffonde Locky

Gli hacker inviano un’email con un oggetto simile al seguente: “ATTN: Fattura J-98223146“. All’email è allegato un documento Word. In che modo gli hacker vengono in possesso di un indirizzo email? Procurandoselo mediante la violazione di dati di terze parti (ad esempio, se ci si è registrati a un servizio e il server dell’azienda è stato violato) o acquistandolo (la stessa azienda ha venduto l’indirizzo email fornito).

Come viene installato Locky

L’ignaro utente apre il documento, che sembra… incomprensibile. Il documento raccomanda di abilitare le macro “se la codifica dei dati non è corretta”. Tutto ciò è ovviamente pianificato. ll codice malevolo presente nel documento “.doc” infetterà il computer. Salverà automaticamente il virus e una volta fatto ciò, il file salvato verrà utilizzato come downloader per scaricare le ulteriori parti necessarie per infettarti. In certi casi i tuoi file potrebbero essere criptati con l’estensione di file con estensione “.locky”.

Che aspetto ha Locky

L’abilitazione delle macro consente a Locky di essere scaricato segretamente sui computer. Il ransomware quindi procede a crittografare tutti i file che trova (immagini, video, file di Office, ecc.). Codifica perfino i dati presenti sulle eventuali unità rimovibili collegate in quel momento …

Cosa viene richiesto da Locky

Quando tutti i file sono crittografati, Locky chiede un pagamento per decodificarli. Spesso viene richiesto il pagamento in bitcoin di una somma compresa tra 0,5 e 1,0 BTC (1 bitcoin = $ 400/£ 280/€ 367).

.

Giusto per rendersi conto di ciò che accade nel mondo digitale in tempo reale, al momento della stesura di questo articolo l’Italia occupa il 9° posto tra i paesi con più attacchi, mentre, tra le grandi potenze mondiali, la Russia si trova al 1° posto, la Germania al 2° mentre gli Stati Uniti d’America al 3° posto.

Clicca per vedere la bellissima infografica proposta da Kaspersky Lab

Sei stato contagiato anche tu da Locky? Leggi il prossimo articolo per verificare se hai la possibilità di salvare il salvabile.

Prossimo articolo