Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware, ransomware Trekkie, ransomware kirk

Ransomware Kirk: non colpisce le copie shadow dei file

Scoperto nel cyberspazio un ransomware dal nome del noto personaggio di Star Trek. Ma la versione criminale di Enterprise non attacca le copie shadow dei file delle potenziali vittime.

“Questo ransomware non è paragonabile ai Borg e nemmeno alla cattiveria dei Klingon, per lo meno non in questa specifica reiterazione”, afferma Moritz Kroll, ricercatore malware di Avira Protection Services. “Ma questa potrebbe essere solo una prima variante di prova”.

Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware

Niente panico!

Gli utenti che sono stati infettati non devono subito disperare. Invece dovrebbero cercare di ripristinare i file dalla copia shadow di Windows, poiché il ransomware non elimina questa copia, come invece fanno numerose altre varianti di ransomware, sottolinea Moritz.

Tuttavia, questo ransomware non procede a velocità warp. In effetti Moritz non è sicuro che questo ransomware faccia parte di una campagna generale e nemmeno che preveda una diffusione mirata. “Fino ad ora nel nostro cloud solo due utenti hanno chiesto informazioni su questo ransomware e probabilmente si trattava di altri ricercatori”, ha spiegato. “Questa potrebbe essere una versione di prova identificata da ricercatori della sicurezza addirittura ancora prima di essere destinata a una diffusione nel mondo”.

Due dettagli tecnici del ransomware Kirk

A parte il branding di Star Trek, questo ransomware spicca per due dettagli tecnici. In primo luogo, è scritto nel linguaggio di programmazione Python che solitamente non viene utilizzato per i malware. E in secondo luogo, richiede il pagamento di un riscatto in Monero, una criptovaluta poco conosciuta, anziché nella celebre Bitcoin. Alle vittime viene richiesto il pagamento di 50 Monero (107 euro) entro breve tempo e la somma aumenta con il passare del tempo arrivando a 500 Monero dopo due settimane. Dopo un mese i sequestratori minacciano di eliminare la chiave di decrittografia impedendo agli utenti attaccati di ripristinare i file.

Come riportato dalla fonte Bleeping Computer, il ransomware Kirk si propone come uno strumento dal nome fantascientifico “Low Orbital Ion Cannon” mirato a testare la resistenza a un elevato traffico di rete. Il file eseguibile dal nome loic_win32.exe genera una password AES che viene utilizzata per crittografare i file delle vittime. Questa chiave AES viene poi crittografata attraverso una chiave di crittografia pubblica RSA-4096 incorporata e salvata in un file chiamato pwd. È importante che questo file pwd non venga eliminato, in quanto contiene la chiave.

 

Trekie ransomware message

 

“Nella finestra del messaggio Kirk fornisce alcuni ‘consigli utili’ agli utenti più curiosi”, aggiunge Moritz. “Si consiglia di NON ripetere l’esecuzione”. Che simpatici, ci troviamo dinnanzi a sviluppatori di ransomware con il senso dell’umorismo (nero).

Trattandosi probabilmente di una versione di prova, in futuro potrebbero essere diffuse altre reinterpretazioni di questo ransomware in versione Star Trek, ma al momento non si sa quali saranno i vettori di diffusione. Pertanto è fondamentale osservare sempre le precauzioni standard: non disattivare mai l’Antivirus, tenere aggiornato il software, utilizzare un sistema di backup e non fare mai clic su link sospetti.


Articolo correlato

https://blog.avira.com/it/5-suggerimenti-per-non-cadere-vittima-dei-ransomware/


Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.