SHARE

Partiamo definendo che cosa è un ransomware, un ransomware è un malware(un software maligno) che una volta infettato il pc cripta i dati contenuti in esso, ed in seguito chiede un riscatto(ransom dall’inglese riscatto) all’utente se vuole i suoi dati indietro; le forme di pagamento solo le più svariate, ma si sta diffondendo sempre di più la tendenza ad utilizzare le cripto valute(ad es. i Bitcoin).

Nello specifico Matrix si comporta come un worm e si diffonde tra le reti di pc attraverso i collegamenti di Windows. Ma non è la prima volta che si parla di lui, già nel Dicembre del 2016 era operativo soprattutto negli USA dove una volta criptati i files mostrava una schermata nera nella quale l’utente veniva accusato, all’apparenza dal FBI(nella schermata c’era il logo del FBI per far sembrare che l’azione fosse legale e condotta da un istituzione autorizzata), di aver scaricato materiale illegale da internet, come pornografia, pedopornografia, zoofilia etc. In quel caso il riscatto veniva spacciato come una “multa” da pagare.

Matrix, secondo gli esperti che lo hanno analizzato, si diffonde tramite i siti web che sono stati “infettati” ,ovvero, tramite l’alterazione dello script del sito. Quando l’utente ignaro della minaccia naviga su questi siti, può incorrere in due tipologie di situazioni, la prima è quella nella quale lo script maligno tenta l’attacco e tramite l’ausilio di un pop-up chiede all’utente di istallare un font per visualizzare alcuni contenuti del sito che altrimenti non sarebbero visibili, con questo inganno l’utente scarica il ransomware e da li c’è il rischio che infetti il sistema.

Il secondo scenario prevede l’utilizzo degli Exploit Kit, ovvero, un kit contenente una serie di strumenti(tools) che l’hacker può usare per trovare delle vulnerabilità/criticità all’interno del sistema che è presente nel dispositivo, per poi farvi breccia e infettarlo. E vi starete chiedendo, ma io come faccio ad individuarlo? Quello che sostanzialmente l’utente vede è una finestrella(pop-up), all’apparenza innocente,  che gli chiede di istallare l’aggiornamento di Adobe Flash Player, oppure Java tm o Microsoft Silverlight® per accedere ai contenuti del sito web che vorrebbe visualizzare. Dando poi nei fatti la possibilità al malintenzionato di accedere al suo dispositivo.

In caso di infezione? Come già detto il malware cripta i dati, ma non si limita solo a quello e al diffondersi nella rete alla quale il pc potrebbe essere connesso, esso inoltre cancella le copie shadow dei file e ne impedisce il ripristino, impedisce agli utenti di attivare la modalità di recupero dati e blocca l’accesso alle opzioni di recupero.