I ricercatori di ESET hanno portato alla luce mediatica una nuova minaccia alla sicurezza informatica che, vista la quantità di utenti italiani che ha gia’ colpito, diventa molto importante da conoscere e cercare, se possibile, di evitarla. La minaccia in questione si chiama Win32/Filecoder.NFR ed è della tipologia ransomware, ovvero un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ci sono ransomware che bloccano il sistema e chiedono all’utente di pagare per sbloccarlo, altri invece cifrano i file dell’utente chiedendo di pagare per rendere di nuovo disponibili i file (che potrebbero essere le foto o documenti personali salvati nel pc). La minaccia Win32/Filecoder.NFR, tuttavia, si distingue dagli altri perché finge di essere il file che esegue il browser Chrome di Google.
ESET nel suo blog spiega che Win32/Filecoder.NFR funziona come un ‘ransomware as a Service’ (RaaS) che si collega ad un server nascosto nella rete TOR (acronimo di The Onion Router, che permette la navigazione nel Deep Web, ovvero l’insieme delle risorse informative del Web che non si trovano nei normali motori di ricerca). Da questa rete i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio mostrare sullo schermo per intimare l’utente a pagare il ‘riscatto’.
Il ransomware in questione può crittografare praticamente ogni tipo di file, compresi quelli con le piu’ comuni estensioni quali .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4. I criminali informatici possono anche avere accesso ad una serie di statistiche che permettono loro di sapere quanti utenti sono stati infettati così come il numero di questi hanno pagato il riscatto.
Italiani i piu’ colpiti nel mondo. Secondo i dati di ESET, i ransomware della famiglia Filecoder sono la minaccia piu’ grave per i navigatori italiani, che nella prima settimana di gennaio 2016 sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.
Come funziona la minaccia. Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, estrae i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito ogni volta che il sistema viene avviato Il file dannoso si chiama chrome.exe – è lo stesso nome del file eseguibile che avvia il browser web Chrome di Google. Il nome non è un caso probabilmente, serve per ingannare gli utenti che credono di eseguire il browser popolare. Tuttavia, analizzando le proprietà di questo file, si puo’ notare che non è firmato digitalmente, che le informazioni sulla versione e sul nome del prodotto sono state cancellate e che Filecoder.NFR ha un peso di circa 45 MB (probabilmente poiché cerca di ingannare l’utente fingendo le stesse dimensioni del file originale).
Come si diffonde il virus. La diffusione di questa minaccia avviene mediante i tradizionali metodi usati dai cybercriminali per infettare i dispositivi delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l’uso di backdoor. I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave (crittografata usando l’algoritmo RSA) per ogni documento codificato.
ESET Italia ha dei suggerimenti per difendersi da questo tipo di minacce:
1) utilizzare un utente non amministratore
2) mantenere l’antivirus aggiornato
3) mantenere il firewall attivo
4) installare sempre le patch sicurezza Windows che Microsoft rilascia mensilmente
5) NON scaricare ed installare programmi freeware che si conoscono poco, soprattutto di provenienza ignota
6) NON scaricare allegati di posta elettronica da fonti che non si conoscono
7) mantenere sempre aggiornati tutti i programmi che collegano ad internet, soprattutto il browser (Chrome, Firefox, Edge, ecc).
