Senza tema di smentita, una delle forme di attacco informatico più inquietante e subdolo è quella costituita dal ransomware, ovvero da quei virus che, penetrati nel PC (o nel device mobile), ne cripta tutti i dati chiedendo, in cambio del “dissequestro”, un riscatto, quasi sempre in moneta digitale non tracciabile. Ebbene, proprio la categoria virale in questione ha fatto un deciso salto di qualità, negli ultimi giorni, “grazie” a Ransoc, il malware che ricatta i pirati e chi scarica materiale “compromettente”.
Diverse security house (es. Bleeping Computer, Fox InTELL, e Proofpoint), proprio nei giorni che hanno preceduto la metà di Novembre, hanno riscontrato il diffondersi – su computer, tramite la semplice navigazione Internet – di Ransoc, un malware appartenente alla categoria dei ransomware che, però, ha un comportamento curioso in ogni sua fase.
Innanzitutto, a infezione avvenuta, Ransoc non va a criptare tutti i dati locali del malcapitato e non cerca – nemmeno – quelle informazioni, come carte di credito o credenziali bancarie, potenzialmente appetibili nel mercato nero del web (il “Deep Web”). Sarebbe troppo banale. No, Ransoc fa ben altro: come un segugio, analizza byte per byte tutto l’hard disk della vittima di turno, nella speranza di imbattersi o in materiale protetto dal diritto d’autore, quindi contenuti pirata scaricati con Torrent, o in materiale “compromettente”, come foto o video scaricati da siti per adulti.
Terminato questo passaggio, Ransoc va in cerca di account social (Facebook, Skype, e Linkedin) che, però, non viola (non cerca di prenderne il controllo, andando a caccia delle relative password): dei social presi di mira, a Ransoc interessano solo quelle informazioni “anagrafiche”, come nome/cognome, soprannome, data di nascita, indirizzo, mail, numero di telefono, e foto (a tal proposito, cerca di assumere il controllo della webcam!), al fine di redigere una minaccia piuttosto circostanziata che vi proporrà a suon di frequenti schermate invasive.
In queste ultime, Ransoc farà capire – nel modo poc’anzi accennato – di sapere bene chi si trova davanti e, report contenutistico alla mano, chiederà un riscatto che sarà sempre parametrato sulla tipologia e sulla mole di contenuti trovati in locale.
Il pagamento richiesto, poi, non dovrà essere effettuato in Bitcoin, ma con pagamento tramite carta di credito. Un po’ azzardato? Forse: tuttavia, gli hacker in questione, oltre a promettere un’improbabile restituzione del maltolto entro 180 giorni (nel caso “non si cada più in errore”), contano sul fatto che la vittima non li denunci alle autorità perché, in tal caso, dovrebbe affrontare conseguenze legali come multe e pene detentive dalle quali sarebbe difficile tirarsi fuori, visto che Ransoc si perizia di etichettare ogni PC compromesso con tanto di IP, ed identificativo della rete Wi-Fi scovata.
Per cautelarsi contro Ransoc, è consigliabile non visitare siti poco sicuri, visto che tale malware aggredisce – con campagne di malvertising – gli utenti Windows (con Internet Explorer), e quelli macOS (con Safari), e non scaricare contenuti protetti (onde non rendersi ricattabili). In ogni caso, nel mentre si naviga sulla Rete, è sempre bene farlo muniti di software (browser e antivirus con protezione in tempo reale) aggiornati.
Se, sfortunatamente, si è già rimasti vittime di Ransoc, onde procederne alla rimozione, bisogna riavviare il computer in modalità provvisoria ed eliminare, dal registro di sistema, la chiave “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler, mentre – dallo storage locale del computer – andrà cancellato l’eseguibile associato al file “JavaErrorHandler.lnk”.