In rete circola un nuovo ransomware chiamato Anubi. Lo hanno scoperto i ricercatori della cybersecurity di S!Ri. Non si sa ancora molto su come sia distribuito, ma sembra sia stato già molto diffuso nel cyberspazio.
Di certo c’è che quando infetta un computer, prima stabilisce un autorun nel registro di Windows. Di conseguenza, si avvia automaticamente quando un utente si logga. A quel punto effettua una scansione degli hard drives, alla ricerca di for data files, inclusi gli eseguibili, per criptarli. Nel procedimento, li rinomina aggiungendo la sua estensione caratteristica [anubi@cock.li].anubi. Durante questo processo non crittograferà i file sulle condivisioni di rete non identificate, ma sulle mappe delle condivisioni di rete. Concluso il procedimento, crea un file __READ_ME__.txt nel computer della vittima. Questo contiene le istruzioni per contattare il creatore del malware attraverso anubi@cock.li e per inviare l’ID unico per ricevere le istruzioni di pagamento.
Il messaggio dei cyber ricattatori
Nel file _READ_ME_.txt, si spiega cosa è successo al computer colpito dal ransomware. Innanzitutto si precisa che i file importanti prodotti sul computer sono stati criptati a seguito di un problema di sicurezza. A quel punto si chiede che se si vuole recuperarli, bisogna scrivere all’indirizzo di Anubi e seguire i passi necessari per effettuare un pagamento in bitcoin. Il prezzo dipenderà da quanto velocemente la vittima del cyber attacco risponderà al messaggio. Verificato che sia stato saldato il costo pattuito, gli hacker invieranno un tool per decrittare i dati. A conferma che non si tratta di millantatori, i ricattatori sono disponibili a sbloccare gratuitamente fino a 3 file del computer infetto prima del trasferimento di bitcoin. Non devono però essere di valore e comunque non pesare più di 1 mega. I cyber criminali suggeriscono anche dei siti exchange, nonché le modalità per acquistare e trasferire la valuta digitale.
L’ultimatum per pagare è 36 ore, ma il ransomware è lento e può essere scoperto in tempo
Conclusi i suggerimenti, gli autori del ransomware passano alle minacce. Si invita la vittima colpita da Anubi a non rinominare i file criptati. Inoltre, si avvisa di non tentare di decrittarli con software di terze parti. Pena il rischio che questi vengano persi per sempre. Infine, viene dato un ultimatum di 36 ore. Se entro quel tempo la vittima del cyber attacco non scriverà all’indirizzo mail segnalato, verrà cancellata la chiave di de-codifica dei files e non sarà più possibile recuperarli. Unica nota positiva, come ricorda Bleepingcomputer, è il fatto che il malware è molto lento. Ciò permette al bersaglio del cybercrime di potersi accorgere in tempo dell’azione malevola. E di conseguenza, di interrompere il processo prima che l’intero computer sia stato criptato. A patto, però, che siano attive soluzioni di cybersecurity sul terminale. Altrimenti, fortuna a parte, sarebbe molto difficile rilevare la compromissione prima che sia troppo tardi.
