CryptoWall 4.0: più cattivo, caro e insolente

Le nuove caratteristiche di CryptoWall, che pretende più soldi, sbeffeggia le vittime e cambia i nomi dei file oltre a cifrarne il contenuto.

I cyber criminali hanno ottenuto grande successo con il ramsonware, tanto che si prevede un'ulteriore crescita delle estorsioni online per il 2016. Lo dimostra anche l'uscita della nuova versione di CryptoWall, la 4.0, che, come per ogni nuovo prodotto "di grido" è più cara, visto che chiede 700 dollari per "liberare" i dati della vittima.

Forse vale la pena di ricordare che il malware sottostà alle logiche di mercato quanto i software legittimi: anche i cyber criminali, infatti, scelgono gli strumenti più efficaci e con il miglior rapporto prezzo/prestazioni. Gli autori dei malware ne tengono conto e possono permettersi di investire nella ricerca e sviluppo.

Con CryptoWall 4.0 arrivano dunque nuove funzionalità, che i tecnici di Achab, distributore a valore aggiunto milanese, hanno analizzato.

istruzioni di CryptoWall per il pagamento
istruzioni di CryptoWall per il pagamento

Non cambia molto la minaccia mostrata sullo schermo che avvisa dell'avvenuta criptazione dei dati e chiede un riscatto di 700 dollari (erano 300 nella 3.0) fornendo le istruzioni per ottenere lo strumento che riporterà in chiaro i dati. Attenzione, però: si tratta di "un'offerta": infatti, il prezzo è valido per una settimana, al termine della quale raddoppia.

I cyber criminali devono aver sperimentato l'ingenuità e l'inesperienza delle loro vittime e si permettono di sbeffeggiarle, anche nelle istruzioni per il pagamento e per la risoluzione del problema, con frasi del tipo: "apri il tuo browser, se non sai cos'è apri Internet Explorer".istruzioni di CryptoWall per il pagamento

Più in generale, rispetto al passato gli autori dell'estorsione cambiano tono, che diventa sfrontato fin quasi a essere offensivo, visto che scrivono: "CryptoWall non è malevolo e non intende danneggiare i tuoi dati. Insieme possiamo rendere Internet un posto migliore e più sicuro".

Intanto, per spaventare ulteriormente la vittima, è stata aggiunta una nuova caratteristica: oltre a cifrare i dati, vengono anche cambiati i nomi dei file, sostituiti con nomi casuali, quindi non solo non si riescono più ad aprire, ma non si riesce più nemmeno a sapere quali erano i file originali.

Diffusione CryptoWall
Diffusione di CryptoWall

Bastone e carota: una nuova funzione mira a tranquillizzare il malcapitato. Si tratta di un free decrypter che consente di ripristinare un file. In pratica è come una foto con giornale che dimostra l'esistenza in vita del "rapito". Una garanzia, quindi, della loro "serietà", per cui, se paghi, potrai riavere tutto. Cosa che non sempre è scontata con i ramsomware.

Per coloro che usano antivirus all'avanguardia, i tecnici di Achab ci segnalano che CryptoWall si è manifestato, finora con dei file che hanno il seguente MD5:

E73806E3F41F61E7C7A364625CD58F65

63358929C0628C869627223E910A21BF

5C88FCF39881B9B49DBD4BD3411E1CCF

32ACFA356104A9CE2403798851512654

CE38545D82858C7A7414B4BD660364A9

5384F752E3A2B59FAD9D0F143CE0215A

CF6D69E47B81FA744052DA33917D40F3

In particolare, sempre da Achab, ci segnalano l'antivirus Webroot, che è già in grado di intercettare questa specifica variante prima che la cifratura dei dati abbia luogo.

Visto, però, la facilità e rapidità con cui evolvono le versioni e le varianti, l'unica garanzia consiste in un sistema di backup efficace, replicato in cloud o su storage off-line.

In particolare, da Achab ne consigliano uno che lavora per immagini, affinché, in caso di infezione, risulti possibile tornare indietro a qualche minuto prima, quando i file non erano ancora stati attaccati.

Per le strutture con server e workstation critiche, in Achab hanno identificato in Datto la soluzione di business continuity che può riportare i sistemi indietro a 5 minuti prima.