Il ransomware Anatova colpisce anche l'Italia

Si chiama Anatova ed è il nuovo ransomware in circolazione legato alle criptovalute: più virulento di Ryuk, sta già mietendo vittime anche in Italia.

Dimentichiamoci Ryuk, il ransomware capace di raccogliere in pochi mesi quasi 4 milioni di dollari: ora c’è Anatova, altra incarnazione di codice maligno che blocca l’accesso ai dati chiedendo alla vittima il pagamento di un riscatto per ripristinarlo. Anche in questo caso il versamento dev’essere effettuato mediante criptovaluta, così da rendere non tracciabile la transazione.

Il ransomware Anatova

Scoperta dai ricercatori di McAfee, la minaccia si nasconde dietro le apparenze di un’innocua icona per il lancio di un gioco o di un’applicazione, portando così il malcapitato a effettuare il download del malware, dal peso di 302 kB. Una volta lanciato, l’eseguibile chiede all’utente l’ottenimento dei diritti di amministratore e dà il via alla cifratura dei documenti contenuti nel disco fisso, limitandosi a quelli con dimensioni inferiori a 1 MB così da portare a termine l’operazione nel minor tempo possibile.

Lo step successivo consiste nella richiesta del riscatto. Un pericolo che riguarda da vicino anche il nostro paese, stando a quanto si legge nel report della software house: in Italia sono già stati identificati oltre 10 casi di infezione, negli Stati Uniti più di 100.

La diffusione del ransomware Anatova interessa anche l'Italia

Il riscatto in DASH

I cybercriminali chiedono l’equivalente di circa 630 euro nella moneta virtuale DASH, preferita a Bitcoin per i protocolli impiegati, ritenuti maggiormente rispettosi della privacy e di conseguenza in grado di meglio nascondere i destinatari del versamento. A rendere particolarmente pericoloso il ransomware è la sua natura modulare, così descritta da Christiaan Beek di McAfee.

Anatova può costituire un serio rischio per via della sua architettura modulare che gli permette di arricchirsi nel tempo e in modo semplice di nuove funzionalità.

Anatova: la richiesta di riscatto

Niente di personale, è solo business

I ricercatori ritengono che gli autori di Anatova siano sviluppatori esperti, poiché invece di partire da una base open source per la creazione del ransomware come avvenuto con Ryuk hanno progettato il codice da zero, rendendolo più difficoltoso da identificare e resistente ai tool per il ripristino dei file senza ricorrere al pagamento. Nell’immagine qui sopra la richiesta di riscatto, di cui riportiamo alcuni estratti di seguito in forma tradotta.

Tutti i tuoi file sono stati cifrati. Solo noi possiamo decifrarli, devi pagare 10 DASH a questo indirizzo … Dopo il pagamento inviaci l’indirizzo usato per effettuare il pagamento a uno di questi indirizzi email … Poi aspetta la nostra risposta con il tuo decifratore. Se vuoi puoi mandarci solo un file JPG da massimo 200 kB e lo decifreremo gratuitamente prima del pagamento … Non provare a fregarci, in tal caso non ripristineremo mai i tuoi file. Niente di personale, è solo business.

Fonte: McAfee

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Salrandazzo scrive:
    Giustamente mancano dettagli sulle modalità di infezione. Arriva via email? O la si trova navigando su siti malevoli?
    • bubba scrive:
      beh i tizi dicono che l'hanno scovato su un p2p privato.. ma alla fine che importanza ha? e' un comune exe per windows... come arriva arriva, importante e' clickarlo :) La cosa buffa e' che da me non funzionerebbe manco pagando... essendo un binario a 64bit :P Cmq i tizi sono stati un po troppo stretti... cripta solo file sotto il MB .... un sacco di roba importante ( pdf , docx , jpg ..) e' di sicuro sopra...
  • Dumah Brazorf scrive:
    Non si è capito come si riceve il virus. Sempre per mail? L'icona è nella mail?
Chiudi i commenti