L’azienda ha annunciato che gli utenti che hanno sofferto del ransomware Polyglot, noto anche come MarsJoke, ora possono ripristinare i propri file con lo strumento di decrittazione sviluppato dagli esperti di Kaspersky Lab. Il trojan Polyglot è stato diffuso tramite email di spam che contenevano un allegato dannoso compresso in un archivio RAR. Durante il processo di crittografia, il trojan non modifica il nome dei file su un computer infetto ma ne blocca l’accesso. Dopo aver completato la crittografia, lo sfondo dello schermo del PC della vittima è sostituito con una richiesta di riscatto.
I cyber criminali chiedono il riscatto in bitcoin e, se il pagamento non avviene in tempo, il trojan si cancella dal device infetto, lasciando tutti i file criptati. Questo nuovo tipo di ransomware sembra assomigliare al famigerato CTB-Locker, tuttavia, dopo un’analisi approfondita, gli esperti di Kaspersky Lab non hanno trovato analogie tra i codici dei malware. Il ransomware Polyglot imita il CTB-Locker in tutto e per tutto: l’interfaccia è praticamente identica così come le azioni richieste per ottenere le chiavi di decriptazione, la pagina di pagamento, lo sfondo del desktop ecc. Il ransomware comunica anche con gli autori del malware.
A quanto pare, i creatori di Polyglot hanno pensato che imitando il CTB-Locker avrebbero potuto ingannare gli utenti e convincerli che fossero attaccati da malware molto pericolosi, non lasciando altra scelta se non pagare i cyber-criminali. Gli esperti di Kaspersky Lab hanno esaminato attentamente i meccanismi di crittografia di Polyglot e hanno scoperto che, al contrario di CTB-Locker, utilizza un debole generatore di chiavi di crittografia. Una ricerca, condotta con il metodo “forza bruta”, tra i set di varianti di possibili chiavi di decriptazioni del Polyglot può essere eseguita in meno di un minuto su un normale PC.
Scoprire questa debolezza nella generazione delle chiavi, ha permesso agli esperti di Kaspersky Lab di sviluppare uno strumento utile per aiutare a sbloccare i dati personali degli utenti. “Questo ci insegna a non arrenderci mai: i ransomware sono un problema serio per tutti gli utenti, ma a volte è possibile trovare una soluzione. In questo caso, gli autori del malware hanno commesso un errore di implementazione, rendendo possibile violare il sistema di crittografia. Tuttavia, gli utenti non dovrebbero affidarsi alla fortuna quando si tratta di ransomware”, ha affermato Morten Lehn, General Manager Italy di Kaspersky Lab.
“Questo caso rappresenta più l’eccezione che la regola, perciò raccomandiamo gli utenti di proteggere i loro device proattivamente, utilizzando una soluzione di cyber-sicurezza affidabile e controllando che tutte le tecnologie anti-crittografia siano attive”. Kaspersky Lab ha rilevato questo ransomware come Trojan-Ransom.Win32.Polyglot e PDM:Trojan.Win32.Generic. Per leggere il resoconto dettagliato e saperne di più sulle specifiche tecniche di questo trojan, visitare Securelist http://bit.ly/2eykhgP. Ulteriori strumenti di decriptazione sono disponibili sul sito No More Ransom.
Il progetto “No More Ransom” (www.nomoreransom.org) è un’iniziativa congiunta tra Kaspersky Lab, la National High Tech Crime Unit della Polizia olandese, l’European Cybercrime Centre di Europol e Intel Security, l’obiettivo principale è aiutare le vittime di ransomware a recuperare i propri dati crittografati senza dover pagare il riscatto ai criminali. Gli utenti possono trovare informazioni su che cosa ransomware è, come funziona e, cosa più importante, come proteggersi. Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. Per ulteriori informazioni, visitare: www.kaspersky.com/it.
Nessun commento:
Posta un commento