Si torna a parlare di CryptXXX, il ransomware che in questi mesi è stato preso di mira dagli esperti di Kaspersky Labs con la pubblicazione di tool in grado di decriptare i file presi in ostaggio dal malware. Una nuova variante rende la decodifica di nuovo impossibile, e le analisi confermano il successo dell’operazione dal punto di vista economico.
La versione aggiornata di CryptXXX è stata scovata dai ricercatori di SentinelOne , e tra le novità salienti include un nuovo meccanismo di cifratura di maggiore robustezza che dovrebbe rendere più complicato il lavoro di analisi e decodifica da parte delle security enterprise internazionali.
I file criptati da CryptXXX sono ora riconoscibili dall’ estensione “crypt1” , rispetto alle variabili “.crypz” e “.crypt” usate in precedenza, mentre il malware si incarica di cancellare le copie shadow salvate da Windows per rendere impossibile il recupero dei dati da parte dell’utente.
Una volta verificata l’attendibilità dell'”offerta” dei cyber-criminali con la decodifica di un file campione dalle dimensioni massime di 512 Kilobyte, l’utente viene indirizzato all’esborso di una cifra in Bitcoin (500 dollari o giù di lì) per ottenere la chiave crittografica necessaria allo sblocco dei file su disco.
Tenendo sotto controllo l’indirizzo Bitcoin fornito dagli sviluppatori, i ricercatori hanno identificato la ricezione di almeno 70 Bitcoin solo nelle ultime tre settimane; senza voler considerare il passato, quindi, il business recente di CryptXXX ha già permesso di incassare circa 45mila dollari in puro profitto criminale. Ulteriore segno del fatto che se il crimine non paga, il crimeware con riscatto del ransomware certamente sì.
Alfonso Maruccia