Il Ransomware Locky

Locky è un tipo di malware in grado di criptare i file critici sul proprio computer e tenerli in ostaggio mentre richiede un riscatto.

Gli attaccanti promettono di fornire agli utenti bersaglio una chiave di decrittazione del ransomware Locky che solo loro possiedono, costringendo così le vittime a pagare il riscatto.

 

Da dove proviene?

Locky fa affidamento su tecniche di ingegneria sociale per accedere ai computer delle vittime, utilizzando la posta elettronica come vettore di trasmissione preferito.

Questo ransomware è emerso per la prima volta nel 2016 e si è diffuso rapidamente in molte regioni del mondo, tra cui Nord America, Europa e Asia.

Uno dei primi grandi attacchi ha preso di mira un ospedale di Los Angeles, costringendolo a consegnare un riscatto di $ 17.000.

Nel corso dell’anno è stata registrata anche una campagna indirizzata contro altre istituzioni sanitarie. Da allora, non ci sono stati altri attacchi Locky significativi.

I ricercatori sono stati in grado di raccogliere prove che collegano il nuovo ransomware a un famigerato collettivo di hacker noto come Dridex.

 

Come funziona Locky?

I target ricevono un’e-mail fraudolenta contenente un allegato dannoso che recapita Locky sul computer bersagliato.

Queste e-mail sono spesso mascherate da fatture di pagamento, con argomenti come “Prossimo pagamento – 1 mese di preavviso”. Dato che a nessuno piace dover soldi, questa sensazione è ciò che motiva le vittime ad aprire le e-mail.

Una volta aperta l’e-mail, si viene indirizzati a scaricare un allegato, spesso un documento di Microsoft Word.

I contenuti del documento sono volutamente senza senso, ed è qui che entra in gioco l’ingegneria sociale.

Dopo aver aperto il documento allegato, viene chiesto di abilitare le macro di Word in modo che il suo contenuto possa essere visualizzato correttamente (una macro è un po’ come una scorciatoia che esegue una sorta di funzione automatizzata).

Andare avanti con il prompt e abilitare le macro attiva anche uno script dannoso che installa l’ultima versione di Locky sul tuo computer.

Non appena ciò accade, i file vengono bloccati ermeticamente. Uno dei motivi per cui Locky è così pericoloso è la varietà di file che può crittografare.

Oltre ai file e ai video di Microsoft Office, Locky può anche criptare il codice sorgente del proprio computer, rendendolo inutilizzabile.

I file criptati verranno rinominati e le loro estensioni saranno cambiate in nuove, che possono includere .aesir, .odin, .osiris, .thor e .locky stesso.

A questo punto, Locky mostrerà la sua richiesta di riscatto, localizzata nella propria zona. Verrà chiesto di installare il browser Tor e trasferire una commissione in Bitcoin (BTC) in cambio della chiave di decrittazione.

 

Come rimuovere Locky ransomware

Quando si fronteggia un’infezione Locky, un programma anti-malware potrebbe essere in grado di rimuoverla insieme a qualsiasi malware associato sul proprio computer.

Da tenere presente che la rimozione del ransomware non decripterà e ripristinerà i propri file. Al momento non esiste una cura nota per i metodi di crittografia di Locky, quindi una volta che si impossessa dei file, non saranno più disponibili.

L’unico modo affidabile per recuperare tali file da un’infezione Locky è ripristinarli da un backup non infetto: ecco perché è fondamentale stare un passo avanti agli hacker ed eseguire backup regolari del proprio computer.

 

Come prevenire Locky

Il ransomware è uno dei tipi di malware più difficili da affrontare una volta che si è stati colpiti, quindi la prevenzione sarà sempre la migliore strategia di difesa.

I seguenti suggerimenti possono essere utili per proteggere il proprio dispositivo da Locky e altri ransomware:

  • Eseguire regolarmente il backup dei file: indipendentemente dal fatto che si stia utilizzando un servizio cloud o un’unità esterna, meglio eseguire il backup dei file di tanto in tanto. Se si è optato per un dispositivo di archiviazione esterno, meglio disconnetterlo non appena il backup è completo. Locky può diffondersi su qualsiasi dispositivo connesso e su qualsiasi rete a cui può accedere, quindi occorre accertarsi di mettere al sicuro l’unità di backup.
  • Non scaricare allegati non verificati: i criminali informatici amanti della posta elettronica contano sulle proprie vittime per scaricare i loro allegati. Occorre ignorare gli allegati non verificati e non fare clic su alcun collegamento nelle e-mail di mittenti sconosciuti.
  • Utilizzare uno strumento anti-malware: una soluzione di sicurezza informatica affidabile aiuterà a difendersi non solo dal ransomware, ma da tutti i tipi di malware e attacchi di hacking.
  • Mantenere aggiornato il proprio software: molti attacchi malware si basano su falle di sicurezza in software obsoleti. Bisogna assicurarsi di installare patch e aggiornamenti software non appena disponibili.
  • Disabilitare le macro nei programmi di Microsoft Office: la tecnica di installazione di Locky si attiva quando si abilitano le macro nel documento Word allegato. Una buona pratica di protezione consiste nel disabilitare le macro come impostazione predefinita, abilitandole sole si si è assolutamente certi che il documento sia sicuro.