Arriva StalinLocker: 10 minuti per pagare, poi cancella tutti i file

Mag 16, 2018 Marco Schiaffino In evidenza, Malware, News, RSS 1

Il ransomware sarebbe ancora in una fase sperimentale, ma i ricercatori pensano che in un prossimo futuro la tecnica possa diventare comune.

A quasi due anni dalla loro comparsa, i ransomware fanno un po’ meno paura. Un po’ perché i produttori antivirus hanno cominciato a introdurre strumenti specifici per bloccarli, un po’ perché gli utenti hanno acquisito una maggiore consapevolezza dei rischi e su come gestirli. Per alzare l’asticella, i pirati informatici sono quindi costretti a inventarsi qualcosa di nuovo.

Questo qualcosa potrebbe essere anticipato da StalinLocker, un malware individuato dai ricercatori del MalwareHunterTeam e di cui Bleeping Computer riporta una descrizione in questo articolo.

Si tratta di un ransomware che non usa la crittografia per prendere in ostaggio i dati della vittima, ma minaccia semplicemente di cancellarli entro un periodo di tempo predefinito.

StalinLocker, una volta eseguito, blocca il computer e visualizza sullo schermo della vittima una foto di Joseph Stalin, avviando la riproduzione di un file MP3 con una registrazione di pessima qualità dell’inno dell’Unione Sovietica.

Dietro le quinte, il ransomware si preoccupa di modificare le impostazioni di Windows in modo da essere attivato automaticamente all’avvio e blocca tutte le funzionalità (con particolare riferimento a Gestione Attività) con l’esclusione di programmi di messaggistica istantanea come Skype e Discord.

È probabile quindi che le intenzioni degli autori del malware (la versione analizzata sembra essere ancora in via di sviluppo) sia quella di chiedere alla vittima di prendere contatto con i ricattatori tramite uno di questi strumenti.

Contemporaneamente, visualizza un conto alla rovescia che nell’esemplare individuato dai ricercatori, parte da 10 minuti e al raggiungimento dello zero avvia la cancellazione di tutti i file presenti sul computer a meno che non venga inserito un codice di sblocco.

Gli autori del malware si sono dati da fare per creare una grafica “di impatto” che consenta di spaventare il più possibile la vittima.

La strategia dei pirati informatici è chiara: visto che dopo mesi di attacchi continui le vittime dei ransomware sono meno portate a farsi prendere dal panico e cedere al ricatto, con StalinBlocker hanno introdotto una serie di fattori di ingegneria sociale che mirano a terrorizzarle.

Per farlo, usano uno stile grafico inquietante (i russi fanno sempre paura) e la minaccia di cancellare i file in un periodo di tempo piuttosto breve. Oltretutto, il tempo a disposizione viene ridotto a un terzo ogni volta che il programma viene avviato. Ogni riavvio di Windows, quindi, riduce il tempo a disposizione per “salvare” i dati sul computer.

Nella versione studiata dagli analisti, aggirare il programma è piuttosto semplice. Basta inserire un codice che si ottiene attraverso un semplice calcolo matematico: basta sottrarre la data dell’infezione (per esempio 2018.05.16) da 1922.12.30, la data della nascita dell’Unione Sovietica.

È probabile, però, che una eventuale versione definitiva di StalinBlocker utilizzi un metodo diverso e più difficile da ricostruire.

Condividi l'articolo