Una delle categorie di malware più diffusa è quella dei ransomware, virus che crittografano gli altrui dati chiedendo un riscatto per “liberarli”: a tale fattispecie di minaccia alla sicurezza digitale appartiene il nuovo AstraLocker 2.0, da poco segnalato come in azione ai danni dei computer Windows.
Secondo l’azienda di sicurezza ReversingLabs, il virus AstraLocker 2.0, derivato da Babuk diffusosi lo scorso Settembre, si sta diffondendo in queste ore mediante la circolazione di mail di spam che hanno per allegato un documento di Word, al cui interno si cela il virus di cui sopra. Rispetto alla maggior parte del malware, che entrano in azione solo dopo diverse altre operazioni, AstraLocker 2.0 non perde tempo nel far danni.
Dopo che l’utente ha cliccato due volte per aprire il documento allegato, troverà un oggetto OLE al suo intero: è questa la strada, anziché una comune macro da disattivare, scelta dall’hacker per avviare il download del payload malevolo. Nel caso l’utente clicchi anche su tale oggetto, rappresentato nel file Word da un’icona, si paleserà un avviso di sicurezza, secondo il quale il publisher del file “WordDocumentDOC.exe” non può essere verificato, con annessa domanda all’utente se sia convinto a procedere.
A quel punto, nell’eventualità che si proceda all’ennesimo click con estrema imprudenza, il malware AstraLocker 2.0 avvierà le sue routine. Per prima cosa, il virus si accerterà di non essere eseguito in un ambiente di test o in una bolla “sandbox”: ottenuta la conferma di essere eseguito su una macchina reale, procederà a cancellare le copie shadow per evitare il ripristino dei dati, svuoterà il cestino, disattiverà l’antivirus ed eventuali programmi che possano essere di ostacolo alla crittografia.
Espletati questi passaggi, AstraLocker 2.0 invierà i dati dell’utente al server remoto dell’attaccante, e procederà a crittografare in loco i dati dell’utente contrassegnandoli, a seconda della versione, con le estensioni “AstraLocker” o “.Astra”: l’ultimo step degli hacker sarà di mostrare la pagina di richiesta del riscatto, pari a 50 dollari, da versarsi in Bitcoin o Monero, quale passo necessario per poter richiedere, all’indirizzo sicuro [email protected], previa fornitura dell’ID della transazione avvenuta, il programma di decrittazione dei file.