Cerca nel blog

2017/02/24

Quel crack per Mac fa un patatrac: è ransomware senza sblocco

Pubblicazione iniziale: 2017/02/24 11:43. Ultimo aggiornamento: 2017/02/25 12:50.

Sono ancora tanti gli utenti Apple che pensano di non aver bisogno di un antivirus e di poter girare impunemente per Internet perché i loro computer non si possono infettare. Purtroppo non è così.

In realtà il malware per Mac esiste eccome, ma è abbastanza raro incontrarlo perché i criminali informatici non sono stupidi e quindi concentrano efficientemente i propri sforzi sul prodotto più diffuso, cioè Windows. Ma siccome gli utenti Mac sono di solito piuttosto abbienti (se possono permettersi un Mac e i suoi accessori vuol dire di norma che hanno buone disponibilità di denaro), sono quindi un bersaglio appetibile per un tipo specifico di malware: il ransomware, quello che blocca i dati della vittima e vuole soldi per sbloccarli.

La società di sicurezza ESET segnala un caso da manuale di questa situazione: un malware denominato OSX/Filecoder.E oppure OSX/Filecoder.fs, distribuito da siti Bittorrent sotto forma di falsi crack per software piratato.

Un crack è un programma che toglie le protezioni anticopia a un altro programma (per esempio un programma commerciale) per consentire di installarlo senza pagare la licenza d’uso. In questo caso il malware finge di essere un crack per Adobe Premiere Pro CC 2017 oppure per Microsoft Office 2016. L’utente, pensando di fare un affare, scarica il crack e lo esegue: il malware, invece di sbloccare le applicazioni, inizia a cifrare i file presenti sul disco locale e sui dischi esterni e di rete (se montati) usando una password casuale di 25 caratteri e intanto deposita nelle cartelle cifrate un file di istruzioni che spiega che per avere la password che sblocca i file dell’utente bisogna pagare 0,25 bitcoin (circa 280 dollari).

Lo sblocco, dice il malware, richiede circa 24 ore, ma per chi ha fretta c’è l’opzione premium, che promette di sbloccare i file in dieci minuti se si pagano 0,45 bitcoin (circa 510 dollari). Ma è tutto un inganno crudele: questo ransomware, a differenza di altri, non trasmette ai suoi padroni la password utilizzata, e quindi è inutile pagare. La password non arriverà mai e i file resteranno cifrati.

A questo punto, se la vittima non ha una copia di scorta dei propri dati, li deve considerare persi per sempre. Una tenue speranza arriva da Intego, che segnala che questo ransomware è molto lento, per cui è possibile fermarlo spegnendo il computer durante l’esecuzione del finto “craccaggio” oppure usando un’utility di recupero dati, perché i file originali non cifrati vengono cancellati ma non sovrascritti e quindi sono recuperabili con prodotti come Data Rescue).

Un’altra soluzione parziale è creare una copia della situazione corrente, da conservare nel caso venga trovata in seguito una tecnica per decifrare i file (ogni tanto capita), ma nell’immediato i dati non sono recuperabili.

Storie come questa sono un promemoria potente dell’importanza dei backup periodici, e soprattutto del fatto che scaricare software piratato e presunti grimaldelli per usarlo a scrocco può essere disastroso oltre che illegale.


Fonti aggiuntive: Techradar, Tripwire.

Nessun commento: