‘Locky’, il nuovo virus ingannatore

ISERNIA. Nella mitologia norrena, un’importante divinità, temibile e camaleontica, è capace di tessere tranelli e ingannare uomini e dei. Si tratta del dio ‘Loki’, il ‘dio delle malefatte’, che molti hanno conosciuto grazie a film come ‘The Mask’ e ‘Thor’. Pochi giorni fa, i laboratori Symantec, hanno individuato un nuovo tipo di ransomware, dal nome simile a quello del dio nordico: ‘Locky’.

Il nuovo malware è capace di ingannare uomini e sistemi per diffondersi e seminare scompiglio in tutto il mondo, proprio come farebbe lo stesso dio. Il nome del virus non avrebbe origini mitologiche, bensì deriverebbe dalle sue terribili conseguenze: in inglese ‘to lock’, significa ‘chiudere a chiave’, ‘serrare’. Il virus Locky (come ogni ransomware, del resto) ‘chiude a chiave’ i file delle sue vittime, rendendoli, di fatto, illeggibili e inutilizzabili attraverso un complesso procedimento crittografico, difficile (se non impossibile) da invertire. Successivamente, chiede di pagare un riscatto per liberare i file ‘presi in ostaggio’. Locky crea un file ‘.txt’ in ogni cartella che contiene i file crittografati e, tanto per creare panico e scompiglio, cambia anche lo sfondo del desktop, visualizzandovi il messaggio che informa la vittima dell’avvenuto ‘sequestro’ digitale. Il virus spiega dettagliatamente come fare per riavere indietro i propri file, ‘invitando’ l’utente a visitare un particolare sito web, blindato e nascosto, dove procedere al pagamento del riscatto (ovviamente in cryptomoneta Bitcoin). La procedura permette di ottenere una particolare chiave di decriptazione in grado di ‘liberare’ i propri file. La chiave è memorizzata, quindi, su server remoti, controllati da criminali informatici. Locky cambia tutti i nomi dei file con un nome a 16 cifre aggiungendovi l’estensione ‘.locky’ e utilizzando gli algoritmi crittografici ‘RSA-2048’ ed ‘AES-1024’.

Il virus sta sfruttando una vulnerabilità ‘Zero-Day’ (ossia una falla che non è stata ancora resa pubblica) da poco scoperta in ‘Adobe Flash Player’, un applicativo web che permette di visualizzare file multimediali. Per risolvere questa vulnerabilità, Adobe ha rilasciato un’apposita ‘patch’, prontamente sfruttata dai cybercriminali per diffondere il virus. Le versioni del Flash Player interessate sono la 20.0.0.306 e tutte quelle precedenti e successive. Nelle versioni 21.0.0.182 e 21.0.0.197, invece, grazie ad una precedente misura di sicurezza, inserita da Adobe per altri motivi, il bug provocherà soltanto un crash dell’applicazione senza, però, permettere che il malware venga eseguito. Locky (conosciuto dai laboratori Symantec anche come ‘Trojan.Cryptolocker.AF’) è in grado di annidarsi anche nei documenti di Word, in alcuni tipi di macro, ossia in particolari sequenze di comandi dell’Office; comandi che, se attivati, permetterebbero l’istallazione del virus sul dispositivo della vittima a seguito della semplice apertura di un file di Word. Il ransomware Locky viene diffuso principalmente via e-mail, sotto forma di fattura non pagata. Secondo Trend Micro, l’Italia sarebbe il quarto Paese più colpito dal virus, più di USA e Cina. Anche se le principali case produttrici di antivirus hanno già avviato progetti finalizzati a realizzare software in grado di riconoscere i ransomware noti per bloccarne tempestivamente l’attivazione, resta il fatto che essi, negli ultimi tempi, stanno diventando sempre più diffusi e performanti.

La realizzazione di periodiche copie di backup dei file, l’eliminazione di e-mail sospette (soprattutto se contengono link o allegati) l’aggiornamento costante del sistema operativo e di ogni altro software istallato e l’utilizzo di antivirus aggiornati, permette di ridurre notevolmente il rischio di cadere vittima di malware di questo tipo. Per meglio conoscere i virus ransomware, il loro funzionamento e i diversi modo con cui vengono diffusi in internet, è possibile iscriversi al nuovo corso di sicurezza informatica per utente’, contattando lo 0865.299728 o recandosi presso i nostri uffici in Corso Risorgimento 339 A/B ad Isernia (alle spalle del Liceo Scientifico), aperti dal lunedì al venerdì, dalle 9.00 alle 13.00 e dalle 16.00 alle 20.00.

I-Forensics Team