Ultimamente, la maggior parte delle minacce informatiche, aventi per obiettivo i nostri device personali, agiva con il meccanismo delle truffe che, al massimo, iscrivevano l’utente a servizi in abbonamento mangia-credito: dopo qualche settimana di assenza, però, sono tornati in campo i temibili ransomware, con un virus che richiede un riscatto di circa 350 euro in criptovaluta BitCoin.
Diverse aziende di sicurezza hanno riscontrato, negli scorsi giorni, il diffondersi di una nuova minaccia informatica, che va a colpire i computer basati su Windows: nello specifico, si tratterebbe di un virus, noto come “SyncCrypt”, che cripta – con l’algoritmo AES – le cartelle nelle quali sono depositati abitualmente i file dell’utente (Documenti, Immagini, Video, Musica), senza trascurare nemmeno alcune cartelle contenenti file di sistema: vengono lasciate intonse solo quelle che ospitano file essenziali al funzionamento di Windows.
Il modo in cui SyncCrypt si diffonde è basato sulle tecniche dell’ingegneria sociale: non vi è un’aggressione da parte dell’hacker, ma vengono esercitate pressioni affinché l’utente abbassi le difese, e finisca con l’auto installarsi il virus. Nella fattispecie, gli hacker procedono con l’invio massivo di mail (di phishing) dal carattere formale e ben scritte, attribuite ad enti di grande importanza, come i tribunali, che si avvarrebbero di queste comunicazioni per fornire ulteriori dettagli in merito a determinati provvedimenti.
Per conoscere questi dettagli, occorrerebbe aprire un allegato, con estensione WSF: naturalmente, in questo modo, più che aprire una comunicazione ufficiale, si otterrebbe – dal Windows Scripting Host – l’esecuzione di un codice Javascript (payload), che procederebbe a scaricare un’immagine al cui interno, con tecniche steganografiche, sono celati degli archivi zippati.
Una volta decompressi questi ultimi nelle cartelle Windows relative ai file temporanei, dopo un minuto di attesa (per non destare sospetti) l’applicativo scompattato “sync.exe” inizierebbe a criptare i dati di cui sopra, attribiendo loro l’estensione “kk” e mostrando – sul Desktop – una cartella al cui interno, oltre alle istruzioni per il pagamento, sarebbe inclusa anche una notevole richiesta di ricatto, pari a 350 euro circa (al cambio attuale, in criptomoneta, 0.1001270 BitCoin).
Secondo quanto comunicato dagli esperti di sicurezza, vi è una buona, ed una cattiva notizia, in relazione all’azione di SyncCrypt: quella buona è che gran parte degli antivirus riconosce questo ransomware (scansionando l’allegato prima di aprirlo), mentre quella pessima è che, qualora – nonostante ciò – se ne venga colpiti, al momento non esistono tool che riescano a neutralizzarlo, recuperando i file presi in ostaggio. Quindi, o si paga nella speranza che gli hacker mantengano la parola, o bisogna sperare di aver fatto per tempo il backup dei propri dati, su periferica off-line disconnessa.