Tratto dallo speciale:

Nuovi Ransomware: soliti problemi, rapide soluzioni

di Alessia Valentini

Pubblicato 16 Gennaio 2017
Aggiornato 12 Febbraio 2018 20:37

Due nuovi ransomware si aggiungono alla lista delle minacce che affliggono il dominio digitale. La scoperta è avvenuta sotto Natale, ma si sa, il crimine non dorme mai. Per fortuna non dormono nemmeno i ricercatori di Check Point Software Technologies, che hanno scoperto, analizzato e risolto due nuovi ransomware nell’ambito del progetto No More Ransom, di cui l’azienda è entrata recentemente a far parte.

=> Sicurezza informatica, priorità 2017

DeriaLock, scoperto dall’analista di malware Karsten Hahn, è un caso di ransomware molto interessante, perché si evolve nel tempo. E’ stato osservato per la prima volta alla vigilia di Natale 2016, e, inizialmente, infettava il PC dell’utente bloccandone semplicemente lo schermo, uno screen locker che pero’ non criptava i file del PC. Appena due giorni dopo è comparsa una nuova variante del malware che dopo l’ingresso nel PC, nel giro di qualche ora, blocca lo schermo, cripta i files e in caso di riavvio del PC cancella tutto. Per il momento, il riscatto è modesto, si aggira intorno ai 30$. Attualmente il malware in circolazione e’ fermo a queste tre azioni di danneggiamento.

PHP è un’altra nuova e originale minaccia. Si tratta di un ransomware che si presente sotto forma di uno script PHP, che, quando infetta un sistema, crittografia i file senza dare alcuna chance per recuperarli. Inoltre, non comunica con il server command&control. Cripta i file controllandone le estensioni e se il file ‘ di dimensione maggiore di 2048 bytes ne encripta solo una parte lasciando il restante file intatto. Per i file fino a 20148 byte la criptaizone e’ totale

I ricercatori di Check Point hanno reso disponibili pubblicamente i tool per risolvere la crittografia del PHP ransomware permettendo di ripristinare interamente i file bloccati. Per il Derialock hanno capito come sfruttare diversi difetti nell’attuazione creando un tool di decodifica che aiuta a recuperare i file ed evita il pagamento.

Si raccomanda di seguire scrupolosamente le istruzioni fornite dai ricercatori, ovvero effettuare il back dell’hard disk prima del decrypting e saper raggiungere il Safe Mode dopo il reboot, perché gli strumenti di ripristino attualmente disponibili sono valide solo per le versioni correnti di queste minacce informatiche. Infatti, vista la continua contrapposizione fra hacker e ricercatori, i cybercriminali, da un momento all’altro, potrebbero individuare e risolvere la vulnerabilità di programmazione che rende efficaci le soluzioni per risolvere la crittografia.