CoinVault inganna gli utenti decrittando un file solo per crittografare tutti gli altri

Table Of Contents

• CoinVault inganna gli utenti decrittando un file solo per crittografare tutti gli altri
• Esca per attirare denaro
• Consigli di sicurezza

CoinVault inganna gli utenti decrittando un file solo per crittografare tutti gli altri

L’ultimo ransomware chiamato CoinVault colpisce il PC sequestrato e offre alla vittima la generosità di decrittografare un file gratuitamente prima di richiedere il pagamento per il resto in BitCoin. Come un spacciatore o un rapinatore di banche, il nuovo malware, chiamato CoinVault, offre alla parte pagante un “assaggio” delle merci liberate, poi richiede il pagamento completo per il resto. Il riscatto aumenta più a lungo la vittima non paga.

Esca per attirare denaro

CoinVault è simile ad altri ransomware che abbiamo visto in precedenza. L’unica differenza è che questo ransomware ti consente di decrittografare uno dei file “ostaggio” per mostrarti che la decrittazione funziona e per mostrare le ‘nobili’ intenzioni dei sequestratori. Una volta infettato un PC Windows, CoinVault visualizza un messaggio che informa le vittime che “I tuoi documenti e file personali su questo computer sono stati appena crittografati.” Richiede pagamento nella criptovaluta online Bitcoin e fornisce istruzioni su come le vittime possono inviare il denaro. Questo è un software che può essere rimosso dal tuo computer proprio come qualsiasi altro. Ma una volta rimosso, non hai modo di recuperare i tuoi file persi. E il ransomware mostra questo per far passare il messaggio.

Gli esperti consigliano sempre agli utenti di non pagare un tale riscatto. Principalmente perché non esiste alcun quadro giuridico o mezzi per garantire che l’attaccante decrittografi i tuoi file una volta effettuato il pagamento. La maggior parte degli attaccanti decrittografa generalmente i tuoi file. Ma se uno decide di non farlo, diventa un problema poiché decrittografarlo da solo potrebbe richiedere anni. La politica del “una decrittazione gratuita” è probabilmente un modo per l’attaccante di cercare di far pagare più persone. La posizione in cui le vittime sono invitate a pagare è anche resa dinamica, quindi le possibilità che l’attaccante venga rintracciato sono ridotte.

I ricercatori di sicurezza hanno analizzato il malware, è realizzato sul framework .Net. Un’informazione interessante è che questo ransomware controlla anche per analizzatori di rete come Wireshark, probabilmente per proteggersi. Kaspersky rileva questa famiglia come ‘Trojan-Ransom.Win32.Crypmodadv.cj’. Abbiamo già visto applicazioni dannose simili in passato (riguardo alla funzionalità) come ‘TorrentLocker’, e alcuni ransomware PowerShell, ma la quantità di sforzo investito in questo per proteggere il codice mostra che i criminali informatici stanno sfruttando librerie e funzionalità già sviluppate per evitare di reinventare la ruota.

Consigli di sicurezza

Per proteggerti da tale ransomware, è consigliato:

• Eseguire sempre il backup di tutti i tuoi file critici e salvarli su un’unità esterna o nel cloud.

• Salvare diverse versioni per prevenire la possibilità che anche il backup venga crittografato.

• Se mai ti infetti con ransomware, puoi semplicemente eliminare il malware e ripristinare i tuoi vecchi file.

• Dovresti anche assicurarti che tutto il tuo software sia aggiornato e patchato, poiché il ransomware sfrutta quasi sempre vulnerabilità software note.

• Assicurati di installare e utilizzare una soluzione antivirus robusta, che catturerà la maggior parte o tutte le forme di malware controllato dai criminali.

Risorsa: Secure List.