KeyPass: Un ransomware famelico

Il ransomware KeyPass sta infettando i computer in giro per il mondo, cifrando praticamente tutto quello che incontra sulla sua strada. E pensare che tutto è iniziato scaricando un programma di installazione all’apparenza innocuo.

Abbiamo recentemente pubblicato un post in cui vi spiegavamo come, di frequente, il semplice download di un libro o di una mod per un gioco possa implicare qualcosa di più serio. Nei giorni scorsi ci siamo concentrati su un nuovo caso di ransomware, KeyPass, che si propaga esattamente in questo modo. In poche parole: scaricate quello che sembra un innocuo programma di installazione che, invece, installa il malware sul vostro computer.

KeyPass è un tipo di ransomware molto “democratico”: infetta i computer di tutto il mondo, senza alcuna discriminazione politica o razziale. Si è diffuso in più di 20 paesi in sole 36 ore, a partire dalla sera dell’8 agosto. Nel momento in cui stiamo scrivendo questo articolo, Vietnam e Brasile sono sicuramente le nazioni maggiormente colpite; tuttavia, il ransomware ha mietuto vittime anche in Europa e Africa e continua il suo viaggio alla conquista del globo.

Un ransomware a 360°

KeyPass è anche piuttosto scriteriato nella scelta dei suoi “ostaggi”. La maggior parte dei ransomware va a caccia di documenti con estensioni specifiche; KeyPass, al contrario, bypassa soltanto un numero veramente esiguo di cartelle. Tutti gli altri contenuti presenti sul pc vengono trasformati in una serie di insensatezze con estensione .keypass. In realtà, KeyPass non cifra completamente i file ma solo i primi 5MB di ognuno, anche se è una magra consolazione.

Il malware lascia poi un messaggio in formato TXT (peraltro in un pessimo inglese) nelle directory in cui si è inserito, con il quale i suoi ideatori intimano alle vittime di acquistare un programma e una chiave personale per il recupero dei file.  Per convincere le vittime che non sprecheranno il loro denaro, queste vengono invitate a inviare ai cybercriminali da uno a tre file, che saranno decifrati gratuitamente.

Gli aggressori esigono 300 dollari per restituire i file (tale importo è valido solo per 72 ore dal momento dell’infezione). Per ottenere istruzioni dettagliate in merito al recupero dei file, è necessario contattare gli scammer scrivendo a un paio di indirizzi e-mail, ai quali dovrete inoltre inviare il vostro ID, come viene anche specificato nel messaggio. In ogni caso, vi raccomandiamo di non pagare alcun riscatto.

Una caratteristica particolare di KeyPass è che, se per qualsiasi ragione, il computer non è connesso a Internet quando il malware inizia a lavorare, quest’ultimo non riesce a estrarre la chiave di cifratura personale dal server C&C. In questo caso, utilizza una chiave hard-coded, il che significa che i file possono essere decifrati senza alcun problema; la chiave è già a disposizione. Sfortunatamente, in altri casi, non riuscirete a cavarvela con così poco: nonostante l’implementazione sia abbastanza semplice, i cybercriminali non hanno commesso alcun errore con la cifratura.

Nei casi di cui siamo a conoscenza, il malware ha agito in modo automatico; tuttavia, i suoi creatori hanno previsto anche una opzione di controllo manuale. Si sta infatti stimando che KeyPass sarà distribuito in modo manuale e che lo si voglia quindi utilizzare per attacchi targhetizzati. Se i cybercriminali riescono a connettersi al computer delle vittime da remoto e a caricare il ransomware, la sola pressione di un tasto specifico farà sì che siano in grado di cambiare i setting di cifratura, inclusa la lista delle cartelle che KeyPass ignora, oltre al testo del messaggio del ransom e la chiave personale.

Come proteggere il vostro computer da KeyPass

Lo strumento per decifrare i file colpiti da KeyPass non è ancora stato sviluppato; pertanto, l’unico modo per salvaguardare i vostri dati è la prevenzione proattiva. Beh, prevenire è meglio che curare. Rimediare alle conseguenze dell’incuria è un processo molto lungo e impegnativo che può essere evitato, tanto per iniziare, con una maggiore attenzionalità. Vi raccomandiamo, quindi, un paio di semplici misure da adottare per proteggervi contro i ransomware e che possono essere efficaci anche con KeyPass:

  • Non scaricate programmi da siti sospetti; allo stesso modo, non cliccate su link che vi destano anche il minimo dubbio. Questo vi aiuterà a stare alla larga dalla maggior parte dei malware che stanno infestando la rete.
  • Effettuate il back-up dei vostri file più importanti. Date un’occhiata a questo post – troverete tutte le informazioni necessarie in merito alle procedure di back-up.
  • Affidatevi ad una soluzione di sicurezza che possa identificare e bloccare eventuali programmi sospetti prima che possano danneggiare il vostro computer. Kaspersky Lab's security solutions, ad esempio, include un modulo anti-ransomware.
Consigli