Filecoder, il ransomware che finge di essere Chrome

Paga o non rivedrai mai più i documenti memorizzati nel tuo pc: ecco la minaccia finale del temutissimo virus ricatto, appartenente alla famiglia dei ransomware e responsabile della criptazione irreversibile dei propri dati.

I ricercatori di ESET hanno individuato una temibile variante di ransomware, denominata Win32/Filecoder.NFR che, a differenza di altri malware simili come il Cryptolocker, riesce a camuffarsi nei panni del browser Google Chrome, utilizzato quotidianamente per la navigazione in Internet.

Win32/Filecoder.NFR agisce in modalità “Ransomware as a Service” (RaaS), utilizzando come piattaforma di riferimento la rete TOR. Gli sviluppatori del malware hanno a disposizione strumenti avanzati per scegliere come il malware infetterà il sistema della vittima, la quantità di Bitcoin da chiedere come riscatto e il tipo di messaggio da mostrare sullo schermo della vittima. I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero delle vittime che pagheranno effetivamente il riscatto richiesto.

Una volta contratto, il malware si insidia in modalità silent (silenziosa), si esegue decomprimendo tutti i suoi pericolosi file nella cartella temporanea di Windows, configurandosi per potersi avviare ad ogni caricamento del sistema operativo.

Purtroppo, il file dannoso e ingannevole, chrome.exe, si presenta esattamente come il file originale di Google Chrome e sarà difficilmente individuabile se non si avrà lo crupolo di analizzare le sue proprietà, scoprendo che è sprovvisto di una firma digitale e delle informazioni ralative alla versione e nome del prodotto.

Prestate molta attenzione poiché le estensioni dei file che questo ransomware può crittografare sono oltre un centinaio e tra queste le più comuni sono .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.

Gli sviluppatori di questo virus non hanno lasciato proprio nulla al caso, difatti, altro dettaglio interessante che differenzia Filecoder.NFR da altre minacce simili è la sua grande dimensione, circa 45 MB, a differenza delle dimensioni solitamente ridotte di alri ransomware.

La diffusione di questo malware è la stessa di tutti gli altri e avviene con mezzi e strumenti quali, siti web pericolosi, attacchi Drive-by-download, allegati alle E-Mail e l’uso di altri Trojan-Downloader o di backdoor già contratti dal proprio client. I documenti saranno criptati tramite codifica AES, con chiave a 128 bit, generando una chiave differente per ogni documento modificato.

Non dimenticate di installare sul vostro computer il migliore antivirus, gratuito o commerciale e abilitate punti di ripristino delle versioni precedenti dei file, dalle impostazioni del vostro pc Windows, per provare a recuperarli una volta contratta l’infezione.