Tra le ultime frontiere del malware informatico meritano sicuramente attenzione le tecniche di
"ransomware", che prevedono la criptazione (rapimento) dei dati degli utenti e la richiesta di un riscatto in cambio della decrittazione degli stessi.
In pratica, il malware infetta un PC, esegue la criptazione di alcuni dati (o di tutto il contenuto del disco fisso) e poi visualizza un avviso che informa la vittima che, se non manda soldi per ottenere la chiave di decrittazione necessaria, può scordarsi definitivamente di rivedere le foto che teneva memorizzate nel pc, le relazioni d'ufficio da presentare al capo, i filmini della prima comunione dei figli, in pratica può scordarsi definitivamente di accedere di nuovo ai dati in ostaggio.
La modalità con cui agiscono questi malware è abbastanza ripetitiva: criptano il contenuto di alcune cartelle o di alcuni file del pc vittima, oppure inibiscono completamente l'utilizzo con l'avvertimento (di solito con un file .txt o .word) che se entro certo numero di minuti non viene effettuato un versamento in denaro verrebbe avviata una procedura di cancellazione progressiva di dati contenuti nell'hardware della macchina.
Il virus si fa riconoscere perché aggiunge l'estensione "._CRYPT" in fondo all'estensione preesistente dei file che bloccato e poi colloca nella medesima cartella/directory un file "!_READ_ME_!.txt" che spiega come procedere per far avere il riscatto.
Di solito il file .txt riporta la seguente scritta:
"Hello, your files are encrypted with RSA-4096 algorithm. You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is 0. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".
(tradotto: "Ciao, i tuoi file sono criptati con un algoritmo RSA-4096. Avrai bisogno di almeno qualche anno per decifrare questi file senza il nostro software. Tutte le tue informazioni private degli ultimi 3 mesi sono stati raccolti e inviati a noi. Per decrittare i file dovrai acquistare il nostro software. Il prezzo è 300 dollari. Per acquistare il nostro software ti invitiamo a contattarci all'indirizzo: [indirizzo email] e fornirci il tuo codice personale [codice personale]. Dopo che l'acquisto sarà andato a buon fine ti invieremo il tuo strumento di decodifica, e le vostre informazioni private verranno eliminate dal nostro sistema. Se non ci contatterai entro il 07/15/2007 le tue informazioni private verranno condivise e perderai tutti i tuoi dati. Glamorous team")
"Hello, your files are encrypted with RSA-4096 algorithm. You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is 0. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".
(tradotto: "Ciao, i tuoi file sono criptati con un algoritmo RSA-4096. Avrai bisogno di almeno qualche anno per decifrare questi file senza il nostro software. Tutte le tue informazioni private degli ultimi 3 mesi sono stati raccolti e inviati a noi. Per decrittare i file dovrai acquistare il nostro software. Il prezzo è 300 dollari. Per acquistare il nostro software ti invitiamo a contattarci all'indirizzo: [indirizzo email] e fornirci il tuo codice personale [codice personale]. Dopo che l'acquisto sarà andato a buon fine ti invieremo il tuo strumento di decodifica, e le vostre informazioni private verranno eliminate dal nostro sistema. Se non ci contatterai entro il 07/15/2007 le tue informazioni private verranno condivise e perderai tutti i tuoi dati. Glamorous team")
Gli ideatori di questo tipo di crimine pare siano stati alcuni hackers russi che lo utilizzavano per fare richieste estorsive che si aggiravano intorno ai trecento dollari, denaro che doveva essere pagato tramite Cryzip, ovvero tramite il poco noti ai più sistema di pagamenti e-Gold.
Negli ultimi tempi, tuttavia, i criminali hanno ridotto le proprie pretese: non perchè sono diventati più buoni ma perchè si sono fatti più paraculi: chiedendo infatti un riscatto meno caro, potevano contare su una platea, diciamo così, più ampia, seppure meno abbiente! Anche il sistema di pagamento è diventato meno elitario:ora, fra i sistemi di pagamento accettati vi sono Western Union e Paypal, che tutti conoscono.L'ultimo ransomware rilevato scoperto è stato Troj/Ransom-A, che richiede 'solo' 10.99 dollari di riscatto da inviare via Western Union.
La cifratura con cui vengono lucchettati i dati non è sofisticata ma sofisticatissima, tanto da far risultare impossibile qualsiasi tentativo di decifrazione. Allo stato attuale, se vi capita di essere vittima di un'estorsione di questo tipo, mi sa che vi conviene mettervi l'anima in pace:o rinunciate per sempre ai vostri dati o mettete mano al portafogli per pagare il riscatto
