Di Alessandro Sigismondi
C’è una nuova frode informatica che imperversa sui computer con sistema operativo Windows (almeno per ora!!). Il “CTB Locker “appartiene alla grande famiglia dei “ Critroni Ransomware “ che è un’infezione malware estremamente inquietante che nega l’accesso ai file e poi chiede un pagamento di riscatto, dicendo che esso rilascerà una chiave di decrittografia che ci aiuterà a ottenere indietro i file. La credibilità di tale dichiarazione è altamente dubbiosa, perché i cyber criminali non possono essere attendibili a mantenere le loro promesse.
Il ransomware CTB Locker è stato per la prima volta notato nel luglio del 2014,la maggior parte delle versioni di Windows, inclusi Windows XP, Windows Vista, Windows 7, e Windows 8 possono essere colpite da questo ransomware. La classe” ransomware “si basa sui cosiddetti criptatori – Trojan che cifrano ogni tipo di dati che possono essere di valore per la vittima, senza che ce ne accorgiamo. I dati possono includere foto personali, archivi, documenti, banche dati, diagrammi, ecc Al fine di decifrare questi file i criminali richiedono un pagamento (spesso una somma significativa) . CryptoLocker , CryptoDefence,il suo successore CryptoWall , ACCDFISA , e GpCode sono alcuni degli esempi più noti. Una caratteristica di questo malware è che comunica con il server di comando e controllo di TOR ( acronimo di “The Onion Router” è un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing). Un fatto interessante è che chiunque può acquistare CTB Locker (CBT Locker) per circa $3,000 dollari,per questa cifra si ottiene il kit base e il supporto completo degli sviluppatori di CTB Locker su come impostare tutto correttamente. Questo significa che in giro esistono diverse versioni del virus con aspetti differenti,di fatto sta che Il malware è già cambiato diverse volte da quando ha iniziato ad agire.Ma come viene infettato il pc?: L’ignaro utente riceve una semplice email che contiene informazioni su una presunta spedizione a suo favore o su un ordine effettuato online, per il completamento dei quali è necessario visitare un link indicato nel corpo del messaggio. Cliccando sul link (oppure aprendo l’eventuale allegato) si viene infettati da una variante del virus informatico Cryptoclocker. Oppure altra alternativa per essere infettati è attraverso un file .exe che si può scaricare da un file eseguibile di Adobe Flash Player durante un aggiornamento non verificato,vuol dire che questa infezione spesso si nasconde dietro i messaggi di aggiornamento falsi e pop-up. I file di CTB Locker sono impostati nel formato *.CTBL che non è possibile aprirli. Una volta installato, questo virus ransomware scansionerà il tuo computer per scoprire quali file hai e cripterà la maggior parte di essi, e su quelli collegati ad esso in rete, rendendoli di fatto inutilizzabili al proprietario. Successivamente verrà visualizzata una grande finestra nel tuo schermo e affermerà che i tuoi dati personali sono stati criptati e che si dovrà pagare un riscatto di $120, per riaverli indietro. Il pagamento dovrà essere effettuato con Bitcoins. Si tratta di una minaccia molto seria dato che i dati vengono cifrati con una chiave (pubblica) RSA a 2048 bit di cui è nota la robustezza e. CTB Locker utilizza una criptografia a curva ellittica per cifrare i file degli utenti, questo è un modo abbastanza unico, purtroppo, senza conoscere la corrispondente chiave privata diventa impossibile a chiunque decifrare i files in questione. I documenti oggetto dell’attacco sono solitamente nei formati Microsoft Office, Open Office, jpg e files Autocad. Inoltre, verrà modificato anche lo sfondo del desktop con il file i %MyDocuments%AllFilesAreLocked .bmp, nel quale si potranno trovare dettagliate informazioni su come pagare il riscatto. Potranno essere creati anche altri file, accessibili all’utente, – %MyDocuments%DecryptAllFiles .txt e %MyDocuments%.html,anche qui si potranno trovare le informazioni necessarie per arrivare al sito ufficiale del malware e completare il pagamento. A causa degli intercorsi con il server di commando e controllo ,è accessibile solo tramite TOR ed è così più difficile tracciare questo ransomware, tuttavia posso dire che non è impossibile. Altra caratteristica di CTB Locker è che , ogni volta che si riavvia il sistema, il malware CTB Locker creerà una copia di se stesso con un nuovo nome casuale su %Temp%, è quindi possibile che si possano trovare tonnellate di file dal nome strano in questa cartella.. Se l’allegato si apre dallo smartphone, fin d’ora non accade nulla.