“Ma non dovevamo vederci più?”, il mitico adagio di Lucio Battisti – probabilmente – sarà venuto in mente a molti utenti italiani, in queste ore, vista la ricomparsa del temibile ransomware Crypt0l0cker che, questa volta, colpisce anche via PEC.
A segnalare la nuova campagna virale è il Microsoft Malware Protection Center, la divisione antivirus di Microsoft, che ha riscontrato, appunto, la comparsa – in tutt’Europa, con particolare concentrazione nel Bel Paese – dei nuovi attacchi imputabili a Crypt0l0cker.
La procedura di azione di Crypt0l0cker, questa volta, è ancora più subdola, in quanto gli hacker si sono avvalsi di caselle PEC compromesse, per veicolare mail certificate, con tanto di firma digitale valida ed autentica: il testo delle missive in questione, scritto con un italiano perfetto, e ritenuto valido in ragione dell’identificativo assimilabile a quello di un ente pubblico o notarile (es. [email protected]), parla di una fattura da scaricare (visto che non ne verrà spedito l’equivalente cartaceo) che, una volta stampata, avrà validità fiscale e, come tale, andrà usata e conservata.
In realtà, spiegano i ricercatori Microsoft, ed i colleghi di Ransomware.it, una volta scompattato l’allegato ZIP incluso (es. “fattura_522628.zip), quel che si trova non è un file PDF ma un eseguibile javascript (es. fattura_522628.js) che, se cliccato (perché l’estensione era nascosta, o non vi si è badato), procederà a scaricare il vero ransomware che, dopo aver scansionato il PC, procederà a criptarne le directory, onde chiedere un riscatto.
Purtroppo, al momento, è assai difficile contrastare quest’ondata virale, visto che il downloader del ransomware (il dropper in js) non viene segnalato dagli antivirus (in effetti, il codice malevolo viene scaricato da server remoti in un secondo momento), e la versione di Crypt0l0cker in azione è quella per la quale la security house “FireEye” non è ancora riuscita a sviluppare un “antidoto” idoneo ed efficace.
Per questo motivo, se si scarica la posta tramite un client, es. Thunderbird, è buona cosa attivare dei filtri che blocchino l’apertura degli allegati con estensione “.js” e “zip”, mentre – qualora si opti per un mailserver – è consigliabile che i filtri in oggetto siano attivati, se possibile, lato server. Anche il backup preventivo dei propri dati, eseguito con regolarità, è una buona consuetudine cautelativa: diversamente, in caso di infezione, o ci si dovrà rassegnare ad aver perso i propri dati, o si sarà costretti a pagare un riscatto, attraverso una connessione nel Deep Web, fissato in BitCoin ma corrispondente, col cambio attuale, a circa 399 euro.