Se abbiamo seguito le vicende relative al pericoloso CryptoLocker, il ransomware nato nel 2013 in una delle tante varianti che si sono propagate come non mai sul Web criptando i file di migliaia di utenti e chiedendo un riscatto cospicuo per ottenerli indietro, ci saremo chiesti anche quale sia la situazione attuale di TeslaCrypt, un malware analogo che, pur essendo codificato in maniera diversa da CryptoLocker, ne condivideva la filosofia d’attacco e soprattutto il vasto raggio di azione.
TeslaCrypt è, purtroppo, ancora vivo e vegeto, e osservando la situazione italiana, si direbbe che una nuova ondata di casi sia proprio concentrata nel nostro paese. L’ultima settimana di Gennaio e la prima di questo Febbraio appena iniziato sono infatti state la prova del nove sullo stato di diffusione del malware, riuscendo a mettere inoltre k.o. alcune delle soluzioni antivirus ritenute in grado di affrontare la minaccia.
Nonostante ciò, il metodo di diffusione di TeslaCrypt è a quanto pare veramente semplice, quasi tradizionale: il ransomware arriva sul computer vittima tramite un allegato e-mail, che generalmente contiene indicazioni in merito ad un mittente e dell’oggetto del messaggio completamente legittime.
TeslaCrypt è contenuto in un allegato inviato assieme alla mail, spesso un file compresso di estensione .ZIP che conterrebbe quella che sembra essere una immagine .jpeg, un file .pdf o una presentazione PowerPoint, il classico allegato di molte mail quotidiane.
In realtà il vero contenuto del file sarebbe nascosto sfruttando un espediente per aggirare il file system di Windows: dal momento che il sistema operativo non è in grado di manipolare le doppie estensioni, il file eseguibile di TeslaCrypt potrebbe essere nominato, ad esempio, come “file.pdf.exe”, che verrebbe erroneamente riconosciuto come documento.
L’installazione del ransomware è particolarmente subdola, e a partire dal successivo avvio del PC si noteranno cambiamenti inaspettati rispetto alla struttura delle nostre directory: i file saranno criptati e salvati su una chiave di registro di sistema, richiedendo al contempo all’utente una somma di diverse centinaia di Euro per ottenere l’accesso ai propri file, rigorosamente entro un periodo di tempo limitato (al momento, 72 ore).
Al momento anche le maggiori software house ammettono un discreto livello di difficoltà nel trovare una soluzione adatta a risolvere ed eradicare per sempre il fenomeno malware TeslaCrypt, quindi nel momento i consigli utili in merito alla questione riguardano la prevenzione.
Tra questi, ovviamente, ricordiamo di evitare di aprire mail con allegati compressi, e soprattutto di aggiornare costantemente il sistema operativo e gli antivirus in uso.
Una vecchia variante del ransomware potrebbe essere ancora in circolazione, e questo piccolo ma importante accorgimento potrebbe fare davvero la differenza per ogni utente, fino all’arrivo di una soluzione ufficiale.
Lascia un commento