Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

Ransomware Popcorn: pagare o essere complice?

27 dic , 2016 | 3 minuti

TOPICS

Ransomware Popcorn

Ci troviamo davanti ad un’altra novità, il Ransomware Popcorn è stato scoperto da Malware Hunter Team ed è ancora in fase di sviluppo, infatti per ora colpisce Windows e prende di mira solamente le cartelle Desktop, documenti, immagini e musica.

In questo momento non sono state rilevate campagne di attacco attive ma non possiamo escludere che non ne saranno lanciate nel prossimo futuro, le prime infezioni risalgono a metà Dicembre e il malware si spaccia per il file di installazione di Popcorn Time, un noto client per la condivisione di contenuti multimediali, dal quale naturalmente prende anche il nome.

I creatori di questo cryptovirus si spacciano per studenti siriani che, scusandosi per l’azione fraudolenta, sostengono di operare in nome della fame in Siria, con lo scopo di utilizzare i fondi raccolti con i riscatti per aiutare i rifugiati e le persone povere.

L’infezione avviene quando si tenta di installare una versione del software Popcorn scaricata da siti non ufficiali ed evidentemente compromessi oppure creati appositamente per diffondere il malware.

In fase di installazione appare un falsa schermata di avanzamento del processo che in realtà nasconde l’operazione di cifratura dei file sul PC, non si tratta quindi di un downloader ma il file consiste già nel malware vero e proprio.

Essendo un cryptovirus ancora in fase di sviluppo non è detto che questa modalità non cambi, probabilmente se partiranno campagne di mail phishing per diffondere la minaccia, verrà predisposto un link sul quale l’utente verrà portato a cliccare con qualche tipo di pretesto.

L’algoritmo è un AES256, i file cifrati assumono l’estensione .filock e alla fine della procedura appare la solita finestra che avvisa l’utente dell’avvenuta cifratura, fornendo le solite indicazioni sui passi da fare per poter recuperare i propri files.

La vera particolarità di questo Ransomware è che ti da due possibilità per riavere a tuoi files, la classica chiamata “Fast and Easy” è quella di pagare il riscatto di 1 Bitcoin (circa 750€) entro 7 giorni dalla data dell’infezione, la seconda denominata “Nasty”, è di infettare i tuoi amici per fare in modo che almeno 2 di loro paghino il riscatto, in questo caso avrai la chiave gratuitamente e potrai ripristinare i tuoi dati.

Ebbene sì, ti forniscono anche referral link che punta ad un file sulla rete Tor, che dovresti inoltrare ai tuoi contatti sperando che almeno 2 di loro vengano infettati e scelgano di pagare il riscatto per riavere i propri files.

I ricercatori che hanno analizzato questo Ransomware hanno segnalato anche che per ora il server al quale punta tale link risulta inattivo ma potrebbe anche svegliarsi.

Proprio così questo cryptovirus ti permette di scegliere, pagare o diventare complice.

Tutte le caratteristiche attuali di questo nuovo ransomware lasciano pensare che l’attacco sia dedicato all’utenza privata, primo tra tutti il fatto che è legato all’ utilizzo di un software come Popcorn Time, che ha fini essenzialmente personali e oltretutto appartiene ad una categoria che normalmente nelle aziende è vietata dalle policy di sicurezza (guarda un po’ …) e per questo in ufficio non si riuscirebbe a scaricarlo né tantomeno ad utilizzarlo.  

Inoltre pensate a cosa potrebbe scegliere una persona se venisse infettato il suo PC personale. Cifrate tutte le foto e video della famiglia e niente backup, tipico no?  Pagherebbe 750€ dei suoi? Oppure, potendo, passerebbe la patata ad un paio dei suoi contatti? O ancora meglio ne troverebbe di sconosciuti? Del resto avrebbe 7 giorni di tempo per farlo!

Questo per un’azienda è molto meno critico, prima di tutto perché non accetterebbe mai di figurare come veicolo di infezione, secondo perché il riscatto non rappresenta di certo un cifra impossibile, terzo perché è meno frequente che i dati vengano tenuti all’ interno delle cartelle predefinite come Documenti, Desktop, Immagini e Musica.

Inoltre le aziende si stanno dotando di strumenti di protezione via via più efficaci, non accessibili all’ utenza privata per questioni di prezzo, questo potrebbe essere un altro motivo per il quale i cyber-criminali si stanno rivolgendo proprio ai comuni utenti privati.

A parte i discorsi filosofici e morali su quale sia la cosa giusta da fare, diffondere un malware è un reato previsto dal codice penale (art. 615 quinquies) che punisce chi “diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in lui contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, l’alterazione del suo funzionamento”.

Quindi siate consapevoli della scelta che fate e dei rischi che correte.

Ma la questione più importante ancora una volta è cosa fare per non essere attaccabili, il punto non è cosa scegliere ma come evitare di dover scegliere.

Con questa guida potrai conoscere tutte le funzioni che oggi non devono assolutamente mancare in un antispam, ti sarà molto utile per scelta del prodotto più adatto.

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll