Crylocker geolocalizza le vittime

CryLocker Ransomware è una nuova infezione della famiglia dei cryptovirus in grado di rendere illeggibili i file quando si insinua nel sistema operativo Windows. In meno di 2 settimane si contano già 8.000 infezioni e come ogni versione di cryptomalware ha le sue particolarità.

Per prima cosa possiamo dire che, come nel caso di CryptXXX e a differenza di altri come CTB Locker, Cryptowall o Cryptolocker, per ora non ci troviamo di fronte ad una campagna di phishing (diffusione del software malevolo tramite e mail) ma l’infezione parte direttamente dalla navigazione su una pagina web compromessa: quando la pagina viene visualizzata nel browser l'infezione esegue delle istruzioni che scaricano e installano il malware di cifratura senza che l’utente dia alcuna conferma, anche inconsapevole. Una volta eseguito, il malware richiede fino a 30 minuti per l'avvio della crittografia; purtroppo l'infezione è silenziosa ed è quindi molto probabile che gli utenti non riusciranno a catturare e rimuovere CryLocker prima che causi danno ma se ne accorgeranno dopo che i loro file saranno stati criptati. 

Durante il processo di criptatura vengono anche cancellate le shadow copies, ovvero i file di backup complessivi in grado di ripristinare la macchina nella sua totalità, per cui diventa inutile qualsiasi tentativo di ripristino. Inoltre viene creato il task di persistenza delmalware, in modo tale che se arrestiamo il sistema durante la cifratura questa riparta al successivo riavvio.

Screenshot del messaggio di CryLocker

Ma la caratteristica più singolare di CryLocker è che geolocalizza le vittime della infezione. In tutte le infezioni analizzate si è potuto verificare che il malware raccoglie il dato relativo alla localizzazione geografica della vittima anche se non è chiaro il modo in cui i cybercriminali lo utilizzino. Si pensa che l'indicazione della posizione su mappa possa servire ad incutere maggiore paura ed invogliare al pagamento.

Per fare questo il malware, tramite l'API di Google Maps, accede al database di reti wireless raccolto grazie ai rilevamenti delle Google Car e cerca le reti WiFi che vengono rilevate dal PC infetto, in questo modo è semplice capirne la posizione approssimativa.

Non tutti i ransomware quindi arrivano tramite la posta elettronica. Ce ne sono alcuni, come CryLocker e CryptXXX, che sono diffusi tramite migliaia di pagine web malevole che utilizzano gli exploit kit.

Per questo motivo sistemi di protezione (antivirus, antimalware, ecc) sono obbligatori: l’antivirus anche se non è infallibile è la prima linea di difesa contro questi tipi di attacco.

Non sappiamo quale attacco arriverà e quando, ma possiamo sapere che, prima o poi, ci colpirà: bisogna essere preparati!

A questo scopo puoi richiedere un check up gratuito per sapere il grado di protezione della tua rete: la conoscenza dei pericoli è il primo passo per raggiungere la consapevolezza che la protezione è necessaria. Non ti costerà nulla, male che vada avrai un report personalizzato sui pericoli e le contromisure che puoi adottare.

Richiedi di essere ricontattato compilando il form qui sotto.