SHARE

Si è unito alla già preesistente famiglia dei CryptoMix, Mole, l’ultimo arrivato, è un ransomware che come avevamo spiegato nel precedente articolo si tratta di un malware. Questa tipologia di malware ha lo scopo di criptare i dati e chiedere un riscatto per ottenere la chiave di decriptazione. La sua diffusione avviene tramite mail con la tecnica dello spam; solitamente questi messaggi contengono finti documenti di trasporto che fanno riferimento all’invio di pacchi a vostro nome impossibili da recapitare causa errore nell’indirizzo di consegna. Insomma, prendono spunto da quelle operazioni che vengono fatte nella vita “ordinaria” di molte persone, come professionisti, dipendenti ma anche giovani ragazzi e ragazze.

Lo stratagemma serve per insinuare il dubbio a chi legge l’oggetto della mail, il quale può pensare che di fatto possa esservi del vero sotto, ed è questa la leva con la quale questi meccanismi disonesti lavorano.

Una volta che l’utente, ignaro del pericolo, procede nell’esplorare la mail, finisce per attivare la trappola e aprire le porte al software maligno. Come? Cliccando su un link contenuto nella mail, nel quale teoricamente si dovrebbe poter attivare la procedura per il recupero del pacco, compilando un documento apposito. Tuttavia a questo punto solitamente appare un messaggio, il quale avverte l’utente che il documento contenuto nel link non è leggibile dal suo sistema e pertanto, lo invita a scaricare un plugin contenente il software necessario per visualizzare il “documento”, ovviamente il finto plug-in, come avrete intuito, è in realtà il malware. Il passo successivo è quello di eseguire il software scaricato (come ogni programma che si vuole istallare, una procedura all’apparenza normalissima) e così si attiva il ransomware il quale durante il processo di finta istallazione fa apparire una finestrella che mostra un messaggio di alert e chiede all’utente di cliccare su “ok” se vuole continuare, ed è dandogli l’ok che egli regala al malware i privilegi di amministratore, in modo tale che il ransomware possa agire all’interno del sistema a pieni poteri e senza barriere. Infine apparirà un prompt User Account Control, con la richiesta di eseguire un comando (come quando si consente ad un programma di poter lavorare nel pc)  e il malware si lancerà con i privilegi di amministratore, cripterà tutti i file in qualche secondo e si connetterà subito con il server di Command & Control (rete tramite la quale i malware agiscono e ricevono istruzioni/dati su cosa e come operare). A quel punto l’utente ha la macchina compromessa e sono poche le alternative a sua disposizione; sconsigliamo sempre di pagare il riscatto perché è stato dimostrato (dalla polizia che si occupa di  questi casi informatici) che non si hanno alcune garanzie, una volta pagata la somma, di ricevere la chiave per poter riottenere i propri file.