Kernsomware, un nuovo temibile virus tutto Made in Italy

ULTIMO AGGIORNAMENTO 14:45

Scoperto dagli esperti di cybersecurity Kernsomware, un nuovo temibile virus che cripta tutti i file per chiedere un riscatto. È in fase di test ed è tutto italiano

kernsomware virus
I ransomware sono una delle tipologie di malware più fastidiose e diffuse, soprattutto in Italia – MeteoWeek.com | fonte: Kaspersky

Sicuramente, tra la miriade di virus informatici che ogni giorno infettano i dispositivi di migliaia di persone, i ransomware sono quelli tra i più fastidiosi. In breve, un ransomware è un tipo di malware che rende inaccessibili i dati dei dispositivi infettati e chiede il pagamento di un riscatto – in inglese appunto ransom – per ripristinarli. Nella maggior parte dei casi i ransomware bloccano il sistema, intimando l’utente a pagare per sbloccarlo, oppure cifrano i file dell’utente chiedendo di pagare per poterne “tornare in possesso”.

Ecco, un nuovo ransomware scoperto negli ultimi giorni porta con sé proprio queste temibili e fastidiose caratteristiche. Si chiama Kernsomware ed è un virus completamente Made in Italy, scoperto da JamesWT del Malware Hunter Team. Fortunatamente, dopo un’attenta analisi del codice effettuata dal Computer Emergency Response Team dell’AgID (l’Agenzia per l’Italia Digitale) si è scoperto che Kernsomware non è ancora pronto a colpire, in quanto è “in bozza”. In realtà, come riportato da Libero Tecnologia, sembrerebbe in fase di test: secondo il CERT-AgID, infatti, “dispone già di tutte le funzioni per il corretto funzionamento se i path assoluti, appositamente introdotti per testare il processo di cifratura sul sistema del suo creatore, vengono generalizzati”.

Il virus Kernsomware: di cosa si tratta?

kernsomware virus
Il messaggio lanciato dal virus Kernsomware, nel quale viene chiesto alla vittima il pagamento di un riscatto (entro due ore) per ricevere la password di sblocco dei file criptati – MeteoWeek.com | fonte: CERT-AgID

Kernsomware è il terzo ransomware sviluppato in Italia, dopo Ransomware2.0 e Fuckunicorn: tuttavia non presenta particolari affinità con i suoi “predecessori”.

Nella versione di prova, una volta entrato in un PC con sistema operativo Windows, Kernsomware cerca e chiude i processi “taskmgr” (Task Manager) e “cmd“ (Prompt dei comandi). Subito dopo attiva un timer, simula un countdown di 2 ore e cripta un file di esempio “criptami.txt“. La versione definitiva del virus, ovviamente, procederà a criptare i file della vittima. Dal codice del virus è quindi evidente che Kernsomware sia stato programmato per cifrare i file. L’ipotesi che si tratti di una versione di test è confermata dal fatto che il file criptato non viene sovrascritto ma cancellato, mentre i dati cifrati sono spostati su un altro file con lo stesso nome ma con estensione .Kern (da qui il nome di questo ransomware). Ciò permette di recuperare i file senza nemmeno decifrarli.


Leggi anche:


Invece, con la versione definitiva di Kernsomware la vittima avrà 2 ore di tempo per pagare un riscatto pari a 300 dollari (in Bitcoin). Se non paga i file verranno cancellati. Inoltre, dal codice si evince che il creatore del virus abbia preparato un semplice canale di comunicazione via e-mail, per permettere lo scambio di messaggi tra vittima e hacker. In questo modo il criminale informatico può inviare all’utente malcapitato la password per sbloccare i file, dopo che quest’ultimo ha effettuato il pagamento del riscatto.

Insomma, Kernsomware sembra un virus davvero pericoloso e ben strutturato nei codici: per questo bisognerà porre particolare attenzione quando passerà dalla fase di test a quella operativa.