Ogni giorno, spuntano fuori nuove versioni e nuove varianti di ransomware. I creatori di malware sono ancora sicuri del fatto che i ransomware siano una via facile, nonostante le forze dell’ordine stiano prestando sempre più attenzione al problema.
Infatti, esistono così tante versioni diverse, che i creatori di ransomware hanno iniziato a ripetersi o a copiare il lavoro di altri. Ad esempio, il Trojan-cryptor Polyglot, anche conosciuto con il nome di MarsJoke, è un’imitazione del noto (e piuttosto pericoloso) ransomware CTB-Locker.
Potete notare tracce di CTB-Locker in tutto Polyglot. La sua interfaccia richiama in maniera assurda quella del vecchio Trojan. Cambia lo sfondo del desktop delle vittime nello stesso modo e, proprio come CTB-Locker, consente alle vittime di decifrare gratuitamente cinque file per provare che questi possono essere decifrati.
Anche le istruzioni di Polyglot per le vittime sono identiche a quelle di CTB-Locker (il testo sembra essere stato copiato e incollato). Anche la finestra “Richiesta non riuscita” che appare nel caso in cui non ci sia connessione a Internet sembra essere la stessa.
Anche gli algoritmi di crittografia che utilizza Polyglot sono gli stessi (e sono abbastanza forti).
Polyglot viene inviato principalmente tramite spam (le lettere contengono link dannosi che reindirizzano presumibilmente a documenti importanti). Ovviamente, non ci sono documenti (si tratta solo di un archivio con file maligni eseguibili). Una volta installato, Polyglot si connette con il server command and control per inviare le informazioni sul PC infetto e gestire il ransom. Nel nostro caso, ha richiesto 0.7 bitcoin che equivalgono a circa 320 dollari.
Forse l’unica differenza a livello visivo tra CTB-Locker e il suo nuovo clone è il fatto che MarsJoke/Polyglot lascia i file criptati con le loro estensioni originali, mentre CTB-Locker cambia l’estensione (in genere .ctbl o .ctb2).
Nonostante la somiglianza apparente tra Polyglot e CTB-locker, si tratta di due tipi di malware completamente diversi. Non condividono quasi nessun codice. I nostri esperti pensano che imitando l’aspetto di CTB-Locker, i creatori di Polyglot stessero cercando di portare i ricercatori sulla pista sbagliata.
Come saprete, non si conosce un modo per decifrare i file criptati da CTB-Locker senza pagare il ransom. Ma di nuovo, Polyglot e CTB-Locker non sono la stessa cosa. Fortunatamente, i creatori di Polyglot hanno commesso un errore con il generatore di chiavi, e questo ha permesso ai ricercatori di Kaspersky Lab di ideare una soluzione (uno strumento gratuito in grado di decifrare tutti i file danneggiati).
Per decifrare i file criptati da Polyglot/MarsJoke, scaricate e installate lo strumento gratuito RannohDecryptor (versione 1.9.3.0 o una più recente) dal sito noransom.kaspersky.com. I vostri file verranno ripristinati.
A dire la verità, siamo stati fortunati con Polyglot/MarsJoke. I creatori del malware stanno costantemente adattando e migliorando le loro creazioni. Ad esempio, dopo che abbiamo risolto il ransomware CryptXXX per ben tre volte, il suo creatore ha ritoccato l’algoritmo della crittografia in modo tale che i nostri strumenti non potessero gestirlo. Forse il creatore di Polyglot proverà la stessa impresa. Morale della favola: non potete fare affidamento su uno strumento di decifratura reso disponibile da ogni ransomware in cui vi imbattete.
Il modo migliore per essere al sicuro dai ransomware è bloccarli prima che inizino ad agire. E questo è quello che fanno le buone soluzioni di antivirus, come Kaspersky Internet Security.
Per essere protetti, consigliamo anche di fare frequentemente il backup dei dati, di evitare di aprire allegati sospetti o di cliccare su link ambigui.