Virus: attenzione a Filecoder, il falso Google che chiede un riscatto: cosa fare
Il codice dannoso, che prende in "ostaggio" i file sui computer degli utenti, e' stato individuato dalla societa' Eset. Gli internauti italiani sono stati i piu' colpiti a livello mondiale dalle diverse varianti del ransomware Filecoder, con il 6,35% delle infezioni
C'e' un nuovo tipo di "pizzo elettronico", in gergo 'ransomware', che sta prendendo di mira gli internauti italiani fingendo di essere Chrome, il popolare programma di Google per navigare su Internet. Il codice dannoso, che prende in "ostaggio" i file sui computer degli utenti, e' stato individuato dalla societa' Eset. Secondo i ricercatori di Eset nella prima settimana di gennaio gli internauti italiani sono stati i piu' colpiti a livello mondiale dalle diverse varianti del ransomware Filecoder, con il 6,35% delle infezioni. Il software, appunto, finge di essere il file necessario a eseguire il browser Chrome di Google.
L'utente è convinto di eseguire il browser ma si ritrova con i dati del computer criptati e la richiesta del relativo riscatto. Win32/Filecoder.NFR è un trojan e funziona come malware As A Service, che risale a un server nella rete TOR, di quelli e sono sempre di più che si utilizzano per navigare nel Deep Web. Consente di lasciare ai criminali la scelta su cosa infettare nel sistema e che riscatto chiedere in BitCoin con messaggio intimidatorio personalizzato sullo schermo, da remoto rimarrà nelle mani dei criminali la possibilità di visualizzare su un’apposita dashboard il numero di utenti infettati e quanti di questi effettivamente hanno pagato il riscatto.
Quando Win32/Filecoder.NFR si installa sul sistema decomrpime i file dannosi nella cartella dei temporanei e si configura per l’esecuzione ad ogni avvio del sistema. Chrome.exe si presenta come l’originale di Google, con l’esclusione della firma digitale, che manca. Nota che comunque richiede una certa expertise all’utente, che tante volte è invece chiamato a installare file innocui privi anch’essi di firma digitale. Win32/Filecoder.NFR che è in grado di crittografare, con codifica AES a 128 bit (una chiave nuova per ogni documento, con algoritmo RSA), file con un elevato numero di estensioni (j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4) si distingue anche per la sua pesantezza, circa 45 Mbyte, insolita per un ransomware. E Eset spiega come questo possa essere dovuto proprio all’intenzione di ingannare l’utente con dimensioni appropriate rispetto a quelle di Chrome.exe originale. Non deve temere chi installa Chrome dal sito Google, guai invece ad attivare l’installazione da allegati email, siti Web, e ovviamente è probabile una sua diffusione tramite backdoor e attacchi Drive-by-Download. (https://www.techweekeurope.it)
COSA FARE: Sul web sono presenti diversi software che consentono di individuare i malware presenti nel PC e rimuoverli, uno tra i più diffusi tra gli utenti è Malwarebytes Anti-Malware. Basta scaricarlo (da siti sicuri!), installarlo e seguire le istruzioni.
