Immaginate che il vostro computer vi mostri all’improvviso un messaggio molto inquietante: “È l’FBI. È stato rilevato contenuto illegale sul suo dispositivo. Andrà in carcere per 20 anni e le sarà addebitata una multa di 200.000 dollari, a meno che non paghi 100 dollari in bitcoin”.
“Ah”, direte. “Vacci piano, ransomware! Non avrai un centesimo. Anzi, userò uno strumento speciale per rimuoverti dal mio PC”.
I locker come questi si sono diffusi tra il 2012 e il 2014, ma adesso sono passati agli smartphone, dove sono più difficili da combattere; per quanto riguarda i PC invece, i cryptoransomware hanno preso il loro posto.
Tuttavia, i locker non hanno abbandonato completamente i computer (si sono evoluti per usare metodi persuasivi più efficienti). Il locker Ransoc, scoperto di recente, rappresenta un esempio interessante del processo evolutivo.
La principale differenza tra Ransoc e un locker normale è la sua elevata abilità di persuadere gli utenti. Il ransomware blocca la navigazione e mostra i dati personali della vittima con foto dei social network. Inoltre, il malware fa richieste che sembrano abbastanza razionali. Com’è possibile?
Non appena Ransoc infetta il PC delle vittime (in genere proviene da siti per “adulti”), controlla l’hard disk alla ricerca di qualcosa relazionata con contenuto illegale come pornografia, musica o film scaricati illegalmente. Ransoc controlla anche gli account delle vittime su Skype, Facebook e Linkedin. Il Trojan utilizza queste informazioni per fare in modo che il messaggio di ricatto sembri essere personale.
#Tip of the week: Fighting screen lockers with @kaspersky products https://t.co/SAS4x4ve9o pic.twitter.com/11SGH4e8nR
— Kaspersky (@kaspersky) June 3, 2016
Di conseguenza, le vittime ricevono notifiche inquietanti che sembrano essere molto convincenti: ecco che appaiono i dati personali e la lista di azioni illegali. Ransoc minaccia di pubblicare gli affari dell’utente sugli account social della vittima. Se il Trojan non dovesse trovare nulla, non ricatta la vittima. Molti potrebbero considerarla come una specie di giustizia (stile giustiziere).
Inoltre, ogni 100 millisecondi Ransoc controlla se l’utente prova ad avviare i programmi regedit, msconfig o taskmgr e blocca questi processi in modo tale che le vittime non possano rimuoverli dal sistema.
L’altra cosa interessante su Ransoc è il fatto che i criminali siano disposti a ricevere il riscatto tramite bonifico bancario. Da un lato, è più facile capire chi sia il responsabile della truffa. Dall’altro, i criminali fingono di essere dell’FBI: in questo caso i bonifici bancari sembrano essere molto più convincenti dei pagamenti con bitcoin.
Nel complesso, Ransoc è una specie di locker 2.0, una versione migliorata e aggiornata di malware, molto famosa tre anni fa.
Ci sono due metodi efficaci per bloccare i locker.
- State calmi e non credete a queste truffe di ingegneria sociale. Non si tratta delle forze dell’ordine, qualsiasi cosa essi dicano: si tratta solo di cybercriminali che hanno migliorato il malware.
- Utilizzate una soluzione di sicurezza affidabile sui vostri dispositivi. Kaspersky Internet Security rileva Ransoc e lo blocca prima che raccolga i dati e provi a ricattarvi. Se il vostro dispositivo è infettato da questo Trojan, potete rimuoverlo con l’aiuto di Kaspersky Internet Security.
Se volete saperne di più sui diversi tipi di ransomware e su come contrastarli, leggete questo post.