{"id":16114,"date":"2018-08-15T13:53:49","date_gmt":"2018-08-15T11:53:49","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16114"},"modified":"2020-04-24T13:00:29","modified_gmt":"2020-04-24T11:00:29","slug":"keypass-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/keypass-ransomware\/16114\/","title":{"rendered":"KeyPass: Un ransomware famelico"},"content":{"rendered":"

Abbiamo recentemente pubblicato un post in cui vi spiegavamo come, di frequente, il semplice download di un libro o di una mod per un gioco possa implicare qualcosa di pi\u00f9 serio<\/a>. Nei giorni scorsi ci siamo concentrati su un nuovo caso di ransomware<\/a>, KeyPass, che si propaga esattamente in questo modo. In poche parole: scaricate quello che sembra un innocuo programma di installazione che, invece, installa il malware sul vostro computer.<\/p>\n\n

<\/p>\n

KeyPass<\/a> \u00e8 un tipo di ransomware molto \u201cdemocratico\u201d: infetta i computer di tutto il mondo, senza alcuna discriminazione politica o razziale. Si \u00e8 diffuso in pi\u00f9 di 20 paesi in sole 36 ore, a partire dalla sera dell\u20198 agosto. Nel momento in cui stiamo scrivendo questo articolo, Vietnam e Brasile sono sicuramente le nazioni maggiormente colpite; tuttavia, il ransomware ha mietuto vittime anche in Europa e Africa e continua il suo viaggio alla conquista del globo.<\/p>\n

Un ransomware a 360\u00b0<\/h2>\n

KeyPass \u00e8 anche piuttosto scriteriato nella scelta dei suoi \u201costaggi\u201d. La maggior parte dei ransomware va a caccia di documenti con estensioni specifiche; KeyPass, al contrario, bypassa soltanto un numero veramente esiguo di cartelle. Tutti gli altri contenuti presenti sul pc vengono trasformati in una serie di insensatezze con estensione .keypass. In realt\u00e0, KeyPass non cifra completamente i file ma solo i primi 5MB di ognuno, anche se \u00e8 una magra consolazione.<\/p>\n

Il malware lascia poi un messaggio in formato TXT (peraltro in un pessimo inglese) nelle directory in cui si \u00e8 inserito, con il quale i suoi ideatori intimano alle vittime di acquistare un programma e una chiave personale per il recupero dei file.\u00a0 Per convincere le vittime che non sprecheranno il loro denaro, queste vengono invitate a inviare ai cybercriminali da uno a tre file, che saranno decifrati gratuitamente.<\/p>\n

\"\"<\/p>\n

Gli aggressori esigono 300 dollari per restituire i file (tale importo \u00e8 valido solo per 72 ore dal momento dell\u2019infezione). Per ottenere istruzioni dettagliate in merito al recupero dei file, \u00e8 necessario contattare gli scammer scrivendo a un paio di indirizzi e-mail, ai quali dovrete inoltre inviare il vostro ID, come viene anche specificato nel messaggio. In ogni caso, vi raccomandiamo di non pagare alcun riscatto<\/a>.<\/p>\n

Una caratteristica particolare di KeyPass \u00e8 che, se per qualsiasi ragione, il computer non \u00e8 connesso a Internet quando il malware inizia a lavorare, quest\u2019ultimo non riesce a estrarre la chiave di cifratura personale dal server C&C. In questo caso, utilizza una chiave hard-coded, il che significa che i file possono essere decifrati senza alcun problema; la chiave \u00e8 gi\u00e0 a disposizione. Sfortunatamente, in altri casi, non riuscirete a cavarvela con cos\u00ec poco: nonostante l\u2019implementazione sia abbastanza semplice, i cybercriminali non hanno commesso alcun errore con la cifratura.<\/p>\n

Nei casi di cui siamo a conoscenza, il malware ha agito in modo automatico; tuttavia, i suoi creatori hanno previsto anche una opzione di controllo manuale. Si sta infatti stimando che KeyPass sar\u00e0 distribuito in modo manuale e che lo si voglia quindi utilizzare per attacchi targhetizzati. Se i cybercriminali riescono a connettersi al computer delle vittime da remoto e a caricare il ransomware, la sola pressione di un tasto specifico far\u00e0 s\u00ec che siano in grado di cambiare i setting di cifratura, inclusa la lista delle cartelle che KeyPass ignora, oltre al testo del messaggio del ransom e la chiave personale.<\/p>\n

Come proteggere il vostro computer da KeyPass<\/h3>\n

Lo strumento per decifrare i file colpiti da KeyPass non \u00e8 ancora stato sviluppato; pertanto, l\u2019unico modo per salvaguardare i vostri dati \u00e8 la prevenzione proattiva. Beh, prevenire \u00e8 meglio che curare. Rimediare alle conseguenze dell\u2019incuria \u00e8 un processo molto lungo e impegnativo che pu\u00f2 essere evitato, tanto per iniziare, con una maggiore attenzionalit\u00e0. Vi raccomandiamo, quindi, un paio di semplici misure da adottare per proteggervi contro i ransomware e che possono essere efficaci anche con KeyPass:<\/p>\n