Cerca nel blog

2014/04/04

Il malware CryptoDefense cifra i dati delle sue vittime per ricattarle. Dimenticando la chiave sul loro PC

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Da qualche tempo stanno facendo danni consistenti gli attacchi informatici basati sul pagamento di un riscatto (ransomware): il criminale invia alle vittime un malware, spesso annidato in un allegato alla mail, che cifra i documenti informatici presenti sul PC o sulla rete delle vittime stesse e poi chiede un riscatto per rivelare la complicatissima password di decifrazione.

Chi si fa infettare e non ha una copia di sicurezza dei propri dati rischia di perdere tutto, per esempio tutti i documenti di lavoro, con effetti potenzialmente devastanti.

Fra i numerosi esemplari circolanti di questo genere di malware spicca CryptoDefense: i suoi creatori hanno incassato oltre 30.000 dollari al mese dalle proprie attività illegali. Purtroppo questo genere di crimine paga.

Pensavano di aver costruito una trappola letale: cifratura basata su chiave RSA a 2048 bit, raddoppio del riscatto dopo quattro giorni, uso della rete Tor per effettuare il pagamento (rigorosamente in bitcoin, difficili da tracciare). Il malware include anche dettagliate istruzioni per attivare il software Tor.

Ma i criminali hanno commesso un errore di proporzioni epiche, come racconta Symantec: il loro malware, infatti, lascia sul computer della vittima una copia della chiave di decifrazione. La chiave è nascosta, secondo The Register, nella cartella Application Data - Application Data - Microsoft - Crypto - RSA folder del computer aggredito. Per cui basta usarla per decifrare i dati e l'attacco viene neutralizzato.

Meglio, comunque, non contare sugli errori di programmazione dei criminali e fare prevenzione tenendo aggiornato l'antivirus e facendo attenzione prima di aprire qualunque allegato, anche se proviene apparentemente da un mittente attendibile.

Nessun commento: