A Ranscam non importa se pagate il riscatto

Ranscam cancella i vostri file e poi chiede il riscatto per ripristinarli, o li cancellerà. Sì, in quest’ordine.

Quando il ransomware colpisce, è naturale domandarsi se vale la pena pagare il riscatto per riavere la vostra vita elettronica con il minimo di problemi. Noi di Kaspersky Lab lo sconsigliamo, ma nel caso del nuovo ransomware chiamato Ranscam, è proprio inutile: cancella i file a prescindere.

Threatpost fornisce un resoconto sul nuovo malware, facendo notare che a differenza dei recenti ransomware dalla straordinaria abilità, Rascam sembra fatto alla buona e di non particolare qualità. Una mazza in mezzo agli scalpelli.

Purtroppo, una mazza è un arnese piuttosto distruttivo. Mentre i ransomware sofisticati puntano a estorcere il denaro delle vittime e poi, probabilmente, a ripristinare i file o i file di sistema criptati nell’attacco, Ranscam non è che una truffa.

Come funziona Ranscam

La prima cosa che vedranno gli utenti dopo che il malware si è introdotto nel sistema è la lettera di riscatto, simile a quelle mostrate da altri ransomware, ma con una differenza all’apparenza insignificante: invece di indirizzare gli utenti a un sito esterno dove si suppone verifichino il pagamento del ransom, questa mostra un tasto su cui cliccare: “Pagamento effettuato, si prega di verificare.”

RansomNote

 

In realtà, la differenza è molto sostanziale. Quando un utente clicca sul tasto, appare un messaggio dicendo che il pagamento non era verificato e che verrà cancellato un file ogni qualvolta venga premuto il tasto senza che i criminali dietro Ranscam siano stati pagati. Un modo per innervosire gli utenti e convincerli a pagare diverse volte.

In effetti è solo un bluff, ma non è una buona notizia per la vittima. Il ransomware sostiene di aver spostato i file dell’utente in una “cartella nascosta e criptata”, ma in realtà li ha cancellati ancora prima di mostrare il messaggio di riscatto, per cui non c’è modo di recuperarli.

Come spiegano i ricercatori del Talos Security Intelligence and Research Group di Cisco, la semplice distruzione dei file significa che ai criminali non serve apprendere i virtuosismi del cryptoblocking e del locking.

A oggi Ranscam non è stato associato ad alcun attacco rilevante, semplicemente funge da promemoria: pagare il riscatto potrebbe non funzionare (per non parlare che pagare rafforza l’idea dei criminali secondo cui il ransomeware è un gran sistema per fare soldi).

Non c’è verso di riavere i file eliminati da Ranscam: l’unico modo per proteggervi è essere proattivi, quindi vi raccomandiamo un semplice piano.

  1. Non aprite allegati e non seguite link sospetti. Non si sa molto su come si propaghi Ranscam, ma i soliti sospetti sono gli allegati email e i siti dannosi o compromessi. Se non siete sicuri al 100%, non cliccate.
  2. Fate il backup dei vostri dati con regolarità e conservateli in una memoria offline. Se un qualche ransomware cripta o cancella i vostri file, siete tutelati: avete le copie.
  3. Utilizzate una soluzione antivirus affidabile. Kaspersky Internet Security rileva Ranscam come Trojan-Ransom.MSIL.Agent e non dà al ransomware la possibilità di nuocere ai vostri file.
Consigli