martedì 19 settembre 2017

Il Ransomware Locky passa all'estensione Ykcol per i file criptati


Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue. 
Tuttavia sembra piuttosto strano che i cyber criminali abbiano scelto di far ricorso ad un allegato 7z per diffondere il malware, poiché molti destinatari potrebbero non disporre del software necessario per aprirlo. La scelta può comunque essere spiegata facendo riferimento al fatto che, con questa strategia, il messaggio può aggirare i severi filtri recentemente introdotti sia da Gmail che da altri servizi di posta elettronica.



Come cripta i file?
Il file, una volta scaricato ed eseguito, esegue la scansione del computer e cripta i file. Quando quest’ultima variante di Locky cripta un file ne modifica il nome aggiungendo l’estensione .ykcol, come nel formato seguente:
[primi_8_car_esadecimali_dell'ID] - [successi_4_car_esadecimali_dell'ID] - [successi_4_car_esadecimali_dell'ID] - [4_car_esadecimali] - [12_car_esadecimali]. yckol

Ciò significa che un file denominato 1.png verrebbe criptato e rinominato, ad esempio, E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol.


Locky, dopo aver ultimato la criptazione dei file presenti sul computer, rimuove l’eseguibile precedentemente scaricato e visualizza una nota di riscatto che fornisce le informazioni necessarie per provvedere al pagamento.

La nota di riscatto
I nomi delle note di riscatto, in questa versione, sono cambiati in: ykcol.htm e ykcol.bmpAl momento il sito di pagamento di Locky Decryptor TOR ha un riscatto fissato a 0.25 BTC, circa $ 1.025 USD.



Come proteggersi dal Ransomware Locky
Qualche consiglio per difendersi da Locky (e dai ransomware in generale): innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.

Nessun commento:

Posta un commento