Scoperto il primo cryptolocker scritto nel linguaggio Go
Ogni mese appaiono delle nuove versioni dei ransomware cryptolocker.
Una caratteristica interessante di Trojan.Encoder.6491 è che è scritto nel linguaggio di programmazione Go, sviluppato da Google: fino ad oggi non ci eravamo mai imbattuti in cryptolocker creati con l’utilizzo di questa tecnologia.
Ad avvio Trojan.Encoder.6491 si installa nel sistema sotto il nome di Windows_Security.exe. Quindi il trojan inizia a criptare i file conservati sui dischi, utilizzando l’algoritmo AES. Nel corso dell’operazione, il programma malevolo salta i file i cui nomi contengono le seguenti stringhe:
<strong>tmp winnt Application Data AppData Program Files (x86) Program Files temp thumbs.db Recycle.Bin System Volume Information Boot Windows .enc Instructions Windows_Security.exe </strong>
Il trojan cifra 140 tipi diversi di file, identificandoli sulla base dell’estensione. Trojan.Encoder.6491 codifica i nomi originali dei file mediante il metodo Base64 e quindi attribuisce ai file criptati l’estensione .enc. Come risultato, per esempio, un file con il nome Test_file.avi avrà il nome VGVzdF9maWxlLmF2aQ==.enc.
In seguito il cryptolocker apre nella finestra del browser il file Instructions.html in cui viene richiesto un riscatto nella criptovaluta Bitcoin:
Trojan.Encoder.6491 verifica a intervalli regolari il saldo del portafoglio Bitcoin, aspettando che la vittima trasferisca i fondi. Una volta avvenuto il versamento, il cryptolocker decifra automaticamente tutti i file cifrati in precedenza, utilizzando la relativa funzione incorporata.
Doctor Web ha sviluppato una tecnica specifica che permette di decriptare file colpiti da questo programma trojan.
Se siete vittima del programma malevolo Trojan.Encoder.6491, attenetevi alle seguenti indicazioni:
- fate subito denuncia alla Polizia Postale;
- in nessun caso provate a reinstallare il sistema operativo, ad “ottimizzarlo” e/o a “ripulirlo” utilizzando qualche utility;
- non eliminate alcun file sul computer;
- non provate a ripristinare in autonomo i file cifrati;
- rivolgetevi immediatamente ad un esperto del settore.