Nuova versione migliorata del ransomware Onion (CTB-Locker)

Bisogna evitare a tutti i costi la nuova versione di CTB Locker, un ransomware che utilizza Tor e Bitcoin per non essere individuato o eliminato.

CTB-Locker

È stata individuata una nuova versione del ransomware Onion, conosciuto anche come CTB-Locker o Citroni.

In qualsiasi modo si decida di chiamarlo, CTB-Locker è un malware Cryptolocker che cifra tutti i file sul dispositivo e richiede il pagamento di un riscatto per decifrarli.

La differenza tra CTB-Locker (Curve Tor Bitcoin Locker) e gli altri ransomware è che il primo sfrutta l’anonimità che concede la rete di The Tor Project per evitare eventuali tentativi di eliminazione che si affidano essenzialmente ai server command and control. Con Tor è più difficile individuare e bloccare questo tipo di ransomware. In aiuto a CTB-Locker viene anche la cryptomoneta Bitcoin, famosa per il suo carattere anonimo e decentralizzato.

Una serie di caratteristiche rendono CTB-Locker una minaccia davvero pericolosa e uno degli encryptor più avanzati.

“Grazie al fatto che su Tor i server command and control siano nascosti, catturare i cybercriminali è più difficile; l’uso di un sistema crittografico poco ortodosso rende impossibile l’operazione di cifratura, anche quando si riesce a intercettare il traffico tra il Trojan e il server”, ci ha spiegato lo scorso anno Fedor Sinitsyn, Senior Malware Analyst di Kaspersky Lab. “Tutta questa serie di caratteristiche fanno sì che venga considerato una minaccia davvero pericolosa e uno degli encryptor più avanzati”.

Per Sinitsyn la nuova versione di CTB-Locker, che i prodotti Kaspersky Lab rilevano come Trojan-Ransom.Win32.Onion, ha alcuni aggiornamenti interessanti, primo fra tutti una sorta di “versione di prova” offerta alle vittime, che possono scegliere cinque file da decifrare senza pagare il riscatto. Inoltre, il ransomware è disponibile in tre lingue: tedesco, olandese e italiano. CTB riesce a eludere qualsiasi tentativo di individuazione da parte delle macchine virtuali che i ricercatori utilizzano per analizzare i malware in un ambiente sicuro. Invece di collegarsi direttamente a Tor, CTB passa attraverso altri sei servizi anonimi: in questo modo risulta davvero difficile, se non impossibile, rintracciarlo e bloccarlo.

Il modo migliore per difendersi da questa e da altre minacce simili è effettuare il backup dei dati presenti sul dispositivo il prima possibile (e farlo anche nelle prossime settimane). È importante anche utilizzare un prodotto antivirus robusto e assicurarsi che il sistema operativo e le applicazioni siano aggiornate all’ultima versione e con le patch installate. Se il computer viene infettato, non c’è modo per recuperare i file criptati da CTB-Locker. Si potrebbe anche pagare il riscatto ma, considerando che il cybercrimine è un business, non c’è alcunan garanzia di ricevere la password per decifrare i file.

Che ci piaccia o no, i ransomware sono un affare per molti e nel futuro il problema non farà altro che aggravarsi, soprattutto tenendo in considerazione la tendenza ormai piuttosto diffusa  di dotare praticamente qualsiasi oggeto di connessione a Internet. Siamo ormai nell’era dell'”Internet delle cose”.

Fino ad ora, Kaspersky Security Network ha individuato 361 tentativi di infezione, soprattutto in Russia e Ucraina. Gli utenti Kaspersky Lab, a meno che non abbiano disattivato l’opzione “System Watcher”, sono protetti da questo e altri encryptor. Quando un programma sospetto accede ai file dell’utente, System Watcher effettua delle copie in locale dei suddetti file. È assolutamente fondamentale, quindi , che questo modulo sia sempre attivo.

Riassunto super breve: Gli utenti Kaspersky Lab sono protetti se hanno l’ultima versione del prodotto con il modulo System Watcher attivo. Per chi è stato già infettato dal ransomware, l’unico modo per riavere indietro i file è pagare il riscatto, ma non c’è nessuna garanzia che venga mantenuta la parola data. È un mondo difficile.

Consigli