Sono in arrivo nuovi attacchi informatici che richiedono il riscatto sui computer. I ricercatori del Malware Hunter Team hanno individuato Saturn, un nuovo esemplare di ransomware attivo in-the-wild. Purtroppo il vettore di distribuzione di questo malware non è al momento noto, affermano gli esperti del Cert (Computer Emergency Response Team). Al momento non è chiaro da dove e come si prenda il virus. In ogni caso, la richiesta per liberare il computer dall’infezione è di 300 dollari in Bitcoin, o la funzione di riparazione automatica al riavvio del pc verrà disabilitata, e cancellato il catalogo di backup. In pratica, si può dire che il PC viene fatto morire.
Il malware aggiunge ai nomi dei file cifrati l’estensione .saturn
Una volta lanciato sul computer, avvisa il Cert, “Saturn verifica per prima cosa di non essere in esecuzione all’interno di una macchina virtuale, nel qual caso interrompe il proprio processo”, riporta una notizia Adnkronos.
In seguito Saturn “esegue comandi specifici sul sistema per cancellare le copie shadow di Windows, disabilitare la funzione di riparazione automatica al riavvio ed eliminare il catalogo di backup”. Il malware in questione aggiunge poi ai nomi dei file cifrati l’estensione .saturn. Ad esempio, un file denominato immagine.jpg viene rinominato in immagine.jpg.saturn.
La richiesta di riscatto sotto forma di file, il pagamento sulla rete anonima TOR
Durante la fase di scansione, il virus memorizza in ogni cartella del PC contenente file cifrati i file #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt contenenti la nota di riscatto e un file chiave chiamato #KEY-[id].KEY, in cui [id] è l’identificativo univoco assegnato dal ransomware alla vittima. Quest’ultimo dovrebbe essere utilizzato per accedere al sito per il pagamento del riscatto sulla rete anonima TOR.
Inoltre, Saturn memorizza sul PC lo script #DECRYPT_MY_FILES#.vbs, che fa sì che la macchina infetta “parli” alla vittima mediante una voce sintetica.
300 dollari in Bitcoin per riottenere l’accesso ai file, 600 se si ritarda
Il malware chiede il pagamento di 300 dollari in Bitcoin per riottenere l’accesso ai file cifrati, ma la cifra raddoppia se la vittima non paga entro sette giorni. Il Cert Nazionale raccomanda di non pagare in nessun caso il riscatto richiesto dai cybercriminali, ma al momento “non è disponibile un metodo per decifrare gratuitamente i file presi in ostaggio da questo ransomware”. Gli esperti però stanno analizzando i campioni catturati allo scopo di trovare debolezze nello schema di cifratura, e fortunatamente, la capacità di individuazione di Saturn da parte dei più diffusi antivirus risulta piuttosto elevata. Per prevenire la possibilità di essere vittime della minaccia il Cert mette a disposizione delle linee guida, da consultare su Ransomware: rischi e azioni di prevenzione.