Gli utenti che sono stati colpiti dal ransomware Polyglot, anche conosciuto come MarsJoke, possono ora ripristinare i propri file, grazie ad un tool di decriptazione sviluppato dagli esperti di Kaspersky Lab.
Il trojan Polyglot è stato diffuso tramite email di spam che contenevano un allegato dannoso compresso in un archivio RAR. Durante il processo di crittografia, il trojan non modifica il nome dei file su un computer infetto ma ne blocca l’accesso. Dopo aver completato la crittografia, lo sfondo dello schermo del PC della vittima è sostituito con una richiesta di riscatto. I cyber criminali chiedono il riscatto in bitcoin e, se il pagamento non avviene in tempo, il trojan si cancella dal device infetto, lasciando tutti i file criptati.
Questo nuovo tipo di ransomware sembra assomigliare al famigerato CTB-Locker, tuttavia, dopo un’analisi approfondita, gli esperti di Kaspersky Lab non hanno trovato analogie tra i codici dei malware. Il ransomware Polyglot imita il CTB-Locker in tutto e per tutto: l’interfaccia è praticamente identica così come le azioni richieste per ottenere le chiavi di decriptazione, la pagina di pagamento, lo sfondo del desktop ecc. A quanto pare, i creatori di Polyglot hanno pensato che imitando il CTB-Locker avrebbero potuto ingannare gli utenti e convincerli che fossero attaccati da malware molto pericolosi, non lasciando altra scelta se non pagare i cyber-criminali.
Gli esperti di Kaspersky Lab hanno esaminato attentamente i meccanismi di crittografia di Polyglot e hanno scoperto che, al contrario di CTB-Locker, utilizza un debole generatore di chiavi di crittografia. Una ricerca, condotta con il metodo “forza bruta”, tra i set di varianti di possibili chiavi di decriptazioni del Polyglot può essere eseguita in meno di un minuto su un normale PC. Scoprire questa debolezza, ha permesso agli esperti di Kaspersky Lab di sviluppare uno strumento utile per aiutare a sbloccare i dati degli utenti.
“Questo ci insegna a non arrenderci mai: i ransomware sono un problema serio per tutti gli utenti, ma a volte è possibile trovare una soluzione. In questo caso, gli autori del malware hanno commesso un errore di implementazione, rendendo possibile violare il sistema di crittografia. Tuttavia, gli utenti non dovrebbero affidarsi alla fortuna quando si tratta di ransomware. Questo caso rappresenta più l’eccezione che la regola, perciò raccomandiamo gli utenti di proteggere i loro device proattivamente, utilizzando una soluzione di cyber-sicurezza affidabile e controllando che tutte le tecnologie anti-crittografia siano attive”, ha affermato Morten Lehn, General Manager Italy di Kaspersky Lab.
Kaspersky Lab ha rilevato questo ransomware come Trojan-Ransom.Win32.Polyglot e PDM:Trojan.Win32.Generic. Per leggere il resoconto dettagliato e saperne di più sulle specifiche tecniche di questo trojan, visitate Securelist.
Ulteriori strumenti di decriptazione sono disponibili sul sito No More Ransom. Il progetto “No More Ransom” è un’iniziativa congiunta tra Kaspersky Lab, la National High Tech Crime Unit della Polizia olandese, l’European Cybercrime Centre di Europol e Intel Security, l’obiettivo principale è aiutare le vittime di ransomware a recuperare i propri dati crittografati senza dover pagare il riscatto ai criminali.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
