Il ransomware WildFire è stato sconfitto

24 Ago 2016

Non è un segreto: i ransomware costituiscono una grave minaccia. E non scompariranno a breve (con qualche eccezione, ovvio).

Buone notizie: questa è la storia di una di queste eccezioni. Recentemente, Kaspersky Lab ha aiutato la polizia olandese a disattivare un altro tipo di ransomware (WildFire, che ha quasi terrorizzato gli olandesi).

Wildfire

WildFire era uno di questi Trojan ingordi che vogliono il vostro denaro rapidamente (chiedeva un compenso aggiuntivo per i ritardi dei pagamenti). In questo caso, il malware richiedeva il pagamento di 300 dollari entro otto giorni. Trascorso questo lasso di tempo, la somma si triplicava.

La National High Tech Crime Unit della polizia olandese ha sequestrato un server command & control che conteneva 1.600 chiavi di decifratura. Abbiamo utilizzato i dati per creare un nuovo tool che abbiamo pubblicato su nomoreransom.org, noransom.kaspersky.com e su support.kaspersky.com.

La polizia olandese ha sostituito il server pericoloso con un altro che invia notifiche a tutte le vittime di WildFire, che possono scaricare gratuitamente lo strumento di decifratura.

Un passo indietro

Fin dall’inizio, l’obiettivo di WildFire erano gli olandesi. Infatti, il 90% delle vittime proveniva dall’Olanda.

WildFire si è diffuso attraverso un messaggio spam, che avvisava in un  olandese impecabile  che una fantomatica società di trasporti non aveva potuto consegnare un pacco. Il messaggio conteneva  un link per scaricare un modulo affinché il destinatario potesse riprogrammare la consegna. Il sito Internet aveva un nome di dominio olandese e in generale sembrava essere convincente.

Le vittime hanno visitato il sito, scaricato il document e lo hanno aperto, attivando in questo modo una macro dannosa, che a sua volta scaricava ed eseguiva WildFire. Così manifesto delle intenzioni dei criminali, il codice della macro includeva il testo della canzone dei Pink Floyd “Money” (così come anche alcune varianti con nomi in polacco).

wildfire-screen

Come proteggersi

Se ci fosse solo un tipo di malware e un solo mezzo di diffusione, la cyber-sicurezza sarebbe un gioco da ragazzi. Sfortunatamente, così non è ed esistono milioni di altre minacce. Per essere al sicuro, seguite i nostri consigli:

  1. Se siete vittime di WildFire, scaricate il decryptor dal sito nomoreransom.org. Il portale contiene anche strumenti di decifratura per dozzine di altri tipi di ransomware.
  1. Dopo aver decifrato i vostri file, eseguite una scansione del PC (forse WildFire non è l’unico malware che si è insinuato nel sistema). Potete avviare una scansione con Kaspersky Virus Removal Tool gratuito.

  1. WildFire si è diffuso con l’aiuto di e-mail dannose. Ecco perché consigliamo fortemente di comprendere il funzionamento del phishing. La chiave di tutto è stare sempre all’estra: se non avete ordinato un pacchetto, allora chi dovrebbe inviarvene uno? Un pacchetto inaspettato non rappresenta necessariamente una brutta notizia, ma il mistero dovrebbe mettervi in guardia sulla possibilità di una truffa. Se potete, aprite i file sospetti in una macchina virtuale.
  1. Se un malware ha avuto accesso al vostro sistema, è molto probabile che lo faccia anche un altro malware. Ecco perché è così importante proteggere il vostro sistema con un buon antivirus. Ovviamente, siamo di parte con il nostro Kaspersky Internet Security ma, indipendentemente dalla vostra scelta, è davvero importante che tutti utilizzino un software di sicurezza su ogni dispositivo connesso: installatelo, avviatelo e aggiornatelo.