Dimentichiamoci Ryuk, il ransomware capace di raccogliere in pochi mesi quasi 4 milioni di dollari: ora c’è Anatova, altra incarnazione di codice maligno che blocca l’accesso ai dati chiedendo alla vittima il pagamento di un riscatto per ripristinarlo. Anche in questo caso il versamento dev’essere effettuato mediante criptovaluta, così da rendere non tracciabile la transazione.
Il ransomware Anatova
Scoperta dai ricercatori di McAfee, la minaccia si nasconde dietro le apparenze di un’innocua icona per il lancio di un gioco o di un’applicazione, portando così il malcapitato a effettuare il download del malware, dal peso di 302 kB. Una volta lanciato, l’eseguibile chiede all’utente l’ottenimento dei diritti di amministratore e dà il via alla cifratura dei documenti contenuti nel disco fisso, limitandosi a quelli con dimensioni inferiori a 1 MB così da portare a termine l’operazione nel minor tempo possibile.
Lo step successivo consiste nella richiesta del riscatto. Un pericolo che riguarda da vicino anche il nostro paese, stando a quanto si legge nel report della software house: in Italia sono già stati identificati oltre 10 casi di infezione, negli Stati Uniti più di 100.
Il riscatto in DASH
I cybercriminali chiedono l’equivalente di circa 630 euro nella moneta virtuale DASH, preferita a Bitcoin per i protocolli impiegati, ritenuti maggiormente rispettosi della privacy e di conseguenza in grado di meglio nascondere i destinatari del versamento. A rendere particolarmente pericoloso il ransomware è la sua natura modulare, così descritta da Christiaan Beek di McAfee.
Anatova può costituire un serio rischio per via della sua architettura modulare che gli permette di arricchirsi nel tempo e in modo semplice di nuove funzionalità.
Niente di personale, è solo business
I ricercatori ritengono che gli autori di Anatova siano sviluppatori esperti, poiché invece di partire da una base open source per la creazione del ransomware come avvenuto con Ryuk hanno progettato il codice da zero, rendendolo più difficoltoso da identificare e resistente ai tool per il ripristino dei file senza ricorrere al pagamento. Nell’immagine qui sopra la richiesta di riscatto, di cui riportiamo alcuni estratti di seguito in forma tradotta.
Tutti i tuoi file sono stati cifrati. Solo noi possiamo decifrarli, devi pagare 10 DASH a questo indirizzo … Dopo il pagamento inviaci l’indirizzo usato per effettuare il pagamento a uno di questi indirizzi email … Poi aspetta la nostra risposta con il tuo decifratore. Se vuoi puoi mandarci solo un file JPG da massimo 200 kB e lo decifreremo gratuitamente prima del pagamento … Non provare a fregarci, in tal caso non ripristineremo mai i tuoi file. Niente di personale, è solo business.