crypt888
Geek & Tech 18 Apr 2018

Crypt888: anche gli hacker cercano iscritti su YouTube

Al giorno d’oggi, non sono solo i profili di rilievo su YouTube a cercare di accrescere in modo continuativo il numero di iscritti al proprio canale. Tuttavia, arrivare a utilizzare un ransomware per raggiungere questo obiettivo è un’idea davvero fuori dal comune.

Per chi non lo sapesse, il ransomware è un tipo di malware che limita l’accesso ai file del dispositivo infettato, criptandoli con delle chiavi di cifratura solitamente molto efficaci. In tal caso, un buon antivirus può spesso riuscire a proteggervi dal contagio. Ma, in caso non funzioni,  l’utente si ritrova costretto a pagare un riscatto per eliminare il blocco. Alcuni profili non meglio identificati si sono avvalsi del network di scripting AutoIT per creare un ransomware decisamente insolito, chiamato Crypt888. Apparentemente, in caso di infezione, l’utente viene costretto dal malware a iscriversi a un determinato canale YouTube. È addirittura necessario inviare uno screenshot via mail a conferma dell’avvenuta iscrizione. Ma, al contrario di ogni previsione, i risvolti della situazione sono a dir poco pessimi, tragicomici oseremmo dire.

Come sottolineato dalla società di sicurezza informatica G DATA, Crypt888 non invia infatti chiare istruzioni per il “pagamento” alle vittime, impostando invece un’immagine di sfondo personalizzata sul computer infetto. Peccato che questa risulti pressoché illeggibile in quanto non centrata sullo schermo. Solo aprendo il file impostato dal ransomware come sfondo si è in grado di leggere il messaggio, riscontrando poi che le informazioni non sono affatto comprensibili.

crypt888

Peraltro, in questa fase il ransomware controlla il traffico generato su chrome.exe, firefox.exe, iexplore.exe, opera.exe, tor.exe o skype.exe per evitare che la vittima utilizzi i mezzi di comunicazione più popolari per cercare aiuto online: si può solo ricercare i termini segnalati nel messaggio, nient’altro. I risultati della ricerca portano l’utente sul canale di YouTube a cui è necessario iscriversi per sbloccare la situazione.

Inoltre, anche la cifratura dei file risulta decisamente scadente. Il ransomware crea infatti un elenco di tutti i file presenti sul desktop, li codifica utilizzando la chiave “888” e aggiunge il prefisso “Lock” al nome originale del file. Per decriptare i file basta ripercorrere al contrario i passaggi sopra riportati con uno strumento di decriptazione. Limitiamoci a dire che i ransomware di successo funzionano diversamente…


Fonte

Commenti

Recensioni in evidenza

Tutte le recensioni