Se avete uno smartphone con Android state in guardia: ESET, nota azienda di sicurezza che produce l'antivirus NOD32, ha lanciato l'allarme per un nuovo ransomware che si diffonde tramite SMS. Questa nuova versione, chiamata Android/Filecoder.C, si è diffuso attraverso alcuni topic di Reddit dedicati agli adulti e, per un breve periodo di tempo, anche tramite la nota community di sviluppatori XDA e utilizza la lista di contatti della vittima per diffondersi ulteriormente tramite l'invio di SMS contenti link malevoli.
"La campagna che abbiamo scoperto è contenuta e piuttosto dilettantesca. Inoltre, il ransomware stesso è difettoso – soprattutto per quanto riguarda la crittografia che è scarsamente implementata. I file crittografati possono essere recuperati senza aiuto da parte degli aggressori. Tuttavia, se gli sviluppatori risolveranno questi difetti e la distribuzione continuerà, questo nuovo ransomware potrebbe diventare una seria minaccia", ha avvertito Lukáš Štefanko, ricercatore ESET che ha guidato la ricerca su Android/Filecoder.C.
In questi ultimi anni questo particolare tipo di virus che blocca l'accesso ai propri file e a quelli di sistema tramite cifratura è diventato sempre più diffuso, producendo in alcuni casi anche ingenti danni all'amministrazione pubblica e alle aziende, oltre che ai singoli utenti. Per fortuna esiste No More Ransom, un progetto messo a punto dall'Europol, che negli ultimi tre anni ha aiutato già oltre 200mila vittime di estorsioni informatiche, impedendo che 108 milioni di dollari finissero nelle mani dei criminali.
Il sito, frutto della collaborazione tra 150 partner pubblici e privati, mette gratuitamente a disposizione strumenti per combattere 109 famiglie diverse di ransomware. Disponibile in 35 lingue, ha già avuto oltre 3 milioni di visitatori unici, provenienti da 188 Paesi diversi.
Sostanzialmente si tratta di un database o repository delle chiavi e delle applicazioni che sono in grado di sbloccare e decriptare i dati colpiti da diversi tipi di ransomware. Fino ad oggi risultato già completamente decriptati i ransomware delle famiglie Iams00rry, ZeroFucks, Mira, GandCrab (V1, V4 e V5, fino alla versione V5.2), GetCrypt, JSWorm 2.0, MegaLocker, ZQ, Pewcrypt, HKCrypt, Planetary e Aurora.
L'uso è assai semplice. Dalla home basterà cliccare sul tasto Sì, in risposta alla domanda sulla necessità di aiuto. In questo modo si sarà reindirizzati su un'altra pagina dove Crypto Sheriff vi aiuterà a verificare l'esistenza di un'eventuale soluzione di decifratura, nel caso indirizzandovi alla pagina da cui scaricare i tool adatti. Per farlo è necessario:
- Caricare sul sito due file criptati dal ransomware
- Scrivere l’indirizzo e-mail, l'URL della pagina web, dell'indirizzo di bitcoin o onion che appare nella richiesta di riscatto o, in alternativa, caricare un file, txt o html, con il messaggio di ricatto lasciato dai criminali.