Gli esperti di sicurezza informatica hanno trovato un nuovo virus che cripta tutti i file e chiede un riscatto: è italiano e per fortuna è ancora in fase di test.
Anche in Italia ci sono gli hacker e anche gli hacker del nostro Paese hanno ormai abbracciato la filosofia imperante nel resto del mondo: colpire aziende e privati con virus di tipo “ransomware“, che criptano i file dei dispositivi attaccati, per poi chiedere un riscatto alla vittima. Chi non paga perde l’accesso ai file. L’ultimo esempio è Kernsomware, un malware Made in Italy scoperto da pochissimi giorni.
Si tratta del terzo ransomware sviluppato in Italia, dopo Ransomware2.0 e Fuckunicorn, e a scoprirlo è stato JamesWT del Malware Hunter Team. Dopo una analisi del codice effettuata dal Computer Emergency Response Team dell’AgID (l’Agenzia per l’Italia Digitale) si è scoperto che, in realtà, Kernsomware è ancora una bozza e non è pronto a colpire. Per la precisione è in fase di test: secondo il CERT-AGID, infatti, “dispone già di tutte le funzioni per il corretto funzionamento se i path assoluti, appositamente introdotti per testare il processo di cifratura sul sistema del suo creatore, vengono generalizzati“.
Come funziona Kernsomware
Quando entra in un computer con sistema operativo Windows e viene attivato Kernsomware cerca e chiude i processi “taskmgr" e “cmd“. Subito dopo attiva un timer, simula un countdown di 2 ore e cripta un file di esempio “criptami.txt“. La versione definitiva del virus, ovviamente, procederà a criptare i file della vittima.
Dal codice del malware sembra che Kernsomware sia stato programmato per cifrare i file e, successivamente, anche la chiavecrittografica. Ma nella versione di prova la chiave viene salvata all’interno del file “key.txt“. L’ipotesi che si tratti di una versione di test è confermato dal fatto il file criptato non viene sovrascritto ma cancellato, mentre i dati cifrati sono spostati su un altro file con lo stesso nome ma con estensione .Kern (da qui il nome di questo ransomware). Ciò permette di recuperare i file senza nemmeno decifrarli.
Con la versione definitiva di Kernsomware la vittima avrà 2 ore di tempo (il timer di cui sopra) per pagare un riscatto pari a 300 dollari (ovviamente in Bitcoin). Se non paga i file verranno cancellati. Sempre dal codice si evince che il creatore del virus abbia preparato un canale di comunicazione via email, per permettere lo scambio di messaggi tra vittima e hacker attraverso cui l’hacker può inviare una password per sbloccare i file. In questa versione di prova tale password è “ciao“.
Perché Kersomware è pericoloso
Secondo gli esperti del CERT-AGID Kersonware è un malware originale, che non presenta affinità con i precedenti Ransomware2.0 e Fuckunicorn se non nel fatto che è scritto in .NET, come gli altri due.
Siamo di fronte ad un nuovo virus Made in Italy, quindi, e non c’è molto da vantarsi: è chiaro che anche in Italia ormai sempre più persone hanno competenze sufficienti a scrivere codice malevolo ed è altrettanto chiaro che vogliano usarle per estorcere denaro alle vittime.
Secondo il CERT, dunque, “Al momento non si hanno evidenze di campagne mirate o di compromissioni da una versione funzionante di Kernsomware ma è un dato di fatto l’interesse dei malware writer italiani verso i ransomware per monetizzare rapidamente“.
Se Kernsomware dovesse passare dalla fase di test a quella operativa, però, allora diventerebbe realmente pericoloso: il codice per far male c’è già tutto.