Scoperto dagli esperti di cybersecurity Kernsomware, un nuovo temibile virus che cripta tutti i file per chiedere un riscatto. È in fase di test ed è tutto italiano
Sicuramente, tra la miriade di virus informatici che ogni giorno infettano i dispositivi di migliaia di persone, i ransomware sono quelli tra i più fastidiosi. In breve, un ransomware è un tipo di malware che rende inaccessibili i dati dei dispositivi infettati e chiede il pagamento di un riscatto – in inglese appunto ransom – per ripristinarli. Nella maggior parte dei casi i ransomware bloccano il sistema, intimando l’utente a pagare per sbloccarlo, oppure cifrano i file dell’utente chiedendo di pagare per poterne “tornare in possesso”.
Ecco, un nuovo ransomware scoperto negli ultimi giorni porta con sé proprio queste temibili e fastidiose caratteristiche. Si chiama Kernsomware ed è un virus completamente Made in Italy, scoperto da JamesWT del Malware Hunter Team. Fortunatamente, dopo un’attenta analisi del codice effettuata dal Computer Emergency Response Team dell’AgID (l’Agenzia per l’Italia Digitale) si è scoperto che Kernsomware non è ancora pronto a colpire, in quanto è “in bozza”. In realtà, come riportato da Libero Tecnologia, sembrerebbe in fase di test: secondo il CERT-AgID, infatti, “dispone già di tutte le funzioni per il corretto funzionamento se i path assoluti, appositamente introdotti per testare il processo di cifratura sul sistema del suo creatore, vengono generalizzati”.
Il virus Kernsomware: di cosa si tratta?
Kernsomware è il terzo ransomware sviluppato in Italia, dopo Ransomware2.0 e Fuckunicorn: tuttavia non presenta particolari affinità con i suoi “predecessori”.
Nella versione di prova, una volta entrato in un PC con sistema operativo Windows, Kernsomware cerca e chiude i processi “taskmgr” (Task Manager) e “cmd“ (Prompt dei comandi). Subito dopo attiva un timer, simula un countdown di 2 ore e cripta un file di esempio “criptami.txt“. La versione definitiva del virus, ovviamente, procederà a criptare i file della vittima. Dal codice del virus è quindi evidente che Kernsomware sia stato programmato per cifrare i file. L’ipotesi che si tratti di una versione di test è confermata dal fatto che il file criptato non viene sovrascritto ma cancellato, mentre i dati cifrati sono spostati su un altro file con lo stesso nome ma con estensione .Kern (da qui il nome di questo ransomware). Ciò permette di recuperare i file senza nemmeno decifrarli.
Leggi anche:
- Il nuovo malware Adrozek spaventa tutti: attenzione ai vostri browser
- Un’app per codice a barre contiene virus: attenzione ai vostri smartphone
Invece, con la versione definitiva di Kernsomware la vittima avrà 2 ore di tempo per pagare un riscatto pari a 300 dollari (in Bitcoin). Se non paga i file verranno cancellati. Inoltre, dal codice si evince che il creatore del virus abbia preparato un semplice canale di comunicazione via e-mail, per permettere lo scambio di messaggi tra vittima e hacker. In questo modo il criminale informatico può inviare all’utente malcapitato la password per sbloccare i file, dopo che quest’ultimo ha effettuato il pagamento del riscatto.
Insomma, Kernsomware sembra un virus davvero pericoloso e ben strutturato nei codici: per questo bisognerà porre particolare attenzione quando passerà dalla fase di test a quella operativa.
