Si calcola che siano almeno 600.000 gli utenti che sono stati attaccati dal virus Locky che blocca i file e chiede il riscatto. Se non avete mai sentito parlare di questa minaccia prima d’ora, allora dovreste sapere che si tratta di un degli ultimi virus realizzati appartenenti alla categoria dei ransomware, in grado di rovinare i vostri file. Se siete uno di quegli utenti che accumula file come ricordo nei vari anni, fate attenzione perchè questa minaccia può mettere in pericolo i vostri ricordi. Locky è un malware insidioso, sfortunatamente, sta continuando a diffondersi con alcune varianti, e stando agli esperti di sicurezza PC, è considerato uno dei virus più pericolosi in circolazione.
Il virus funziona in modo molto simile a CTB Locker, Cryptowall, Teslacrypt e Cryptolocker, quindi, non appena riesce ad entrare nel computer, inizia a criptare i file con l’aiuto della crittografia AES-128. Una volta che il processo di crittografia militare è finito, la vittima non è più in grado di accedere ai suoi file. L’unico modo per riaverli è utilizzare un codice per la decriptazione, tenuto dagli sviluppatori del virus Locky. Agli utenti viene poi chiesto di pagare un riscatto per ottenere la chiave per decriptare i file. In questo preciso momento, chiedono di pagare da 0.5 fino a 1.00 bitcoin (o 400$) per poter avere questa chiave, che è essenziale per poter sbloccare i propri file. Tuttavia, gli esperti di sicurezza consigliano di NON pagare il riscatto per tale chiave perchè non c’è alcuna garanzia che questa poi funzioni correttamente. Per riassumere, il ransomware Locky è un virus molto pericoloso che andrebbe rimosso al più presto. Questo è l’unico modo per evitare ulteriori crittografie di file importanti. Per rimuovere il virus Locky e i suoi file malevoli, dovreste scansionare il computer con Reimage o altri spyware simili.
Come funziona questo ransomware?Non appena Locky avrà infettato il sistema, darà il via ad una serie di processi:
Il virus inizierà il processo di crittografia. Questo processo può durare poche ore o dei giorni in base a quanti sono i file. Durante questo processo il virus come suo solito rimarrà nascosto, ma potreste notare dei rallentamenti del sistema e problemi simili.
Finito il processo questo ransomware mostrerà una nota di testo in cui chiederà alla vittima di pagare un riscatto. Il messaggio di avvertimento _Locky_recover_instructions.txt, è quasi del tutto identico ai soliti usati per far conoscere agli utenti quanti bitcoin devono trasferire agli sviluppatori del virus Locky per ricevere una speciale chiave di decriptazione per sbloccare i loro file.
Come posso essere infettato dal virus Locky? Locky ransomware questo è uno dei nomi alternativi usati per questa minaccia) viene diffuso usando lo spam via email e viene fatto passare come file Word allegato. La email che contiene questi file pur essendo un falso cerca di essere convincente perchè il suo unico scopo è quello di ingannare gli utenti per fargli scaricare il suo allegato. Quando il file Word viene scaricato e aperto con le impostazioni Word macro, il virus da inizio immediatamente ai suoi processi. Tuttavia, non è in grado di farlo se i settaggi macro di Word sono disattivati, per questo chiede alla vittima di attivarli. Vi preghiamo di NON farlo in nessun modo perchè i macro registrano i file e li ripetono attivando così il virus. Questo è il motivo per cui Locky è anche detto Macro virus.
Dopo essersi attivato, il virus inizia a scansionare il computer in cerca di file, incluse foto, video, documenti, archivi e altri file dopo di che li crittografa con l’algoritmo AES. Per di più il virus non infetta solo i file Office, ma è in grado anche di connettersi ai drive esterni connessi al computer o ai network su cui tenete file, per bloccare anche quest’ultimi. Inoltre, i file che si trovano online nel cloud o in siti di network sharing sono a rischio di essere infettati anch’essi. Ci sono stati casi in cui il virus Locky è riuscito a bloccare anche i Bitcoin che gli utenti avevano online. Questo è un virus molto pericoloso, quindi dovreste rimuoverlo non appena vi accorgete di averlo sul computer. inoltre, non aprite email sconosciute e non scaricate nessun allegato.
Dovreste aver sentito parlare dell’ultimo ransomware chiamato Locky virus. Se così non fosse dobbiamo avvertirvi che si tratta di una cyber truffa che ha già infettato 40.000 dispositivi. Alcuni dicono che abbia già superato suo “fratello” TeslaCrypt virus ma rimane ancora dietro a CryptoWall virus nella scala della pericolosità e dei danni provocati. Gli Paesi più colpiti sono la Germania, gli Stati Uniti, la Francia, il Giappone, il Canada e l’Australia. Nonostante il virus sia apparso già da qualche settimana, alcuni programmi anti-virus non sono ancora in grado di scovarlo. Fortunatamente, gli esperti di sicurezza continuano a cercare il modo migliore per aiutare gli utenti ad evitare Locky virus.
Come abbiamo detto, il virus Locky si è messo in luce nelle ultime settimane quando ha bloccato il sistema dell’Hollywood Presbyterian Medical Centre e rubando $3,4 milioni. Da quel momento, gli esperti di sicurezza hanno iniziato a notare diverse versioni tradotte di questo ransomware. Il fatto più interessante è che il ransomware Locky non viene diffuso nei paesi di lingua Russa e, nel caso avvenga, si blocca da solo. Lo stesso avviene con un altro virus ransomware, chiamato Cerber virus, che chiaramente evita l’Ucraina, le Bielorussia, la Georgia e la Russia. In molti pensano, proprio per questo motivo, che Locky e altri ransomware simili vengano creati nei paesi di lingua Russa. Parlando dei possibili sospetti, gli esperti di sicurezza hanno iniziato a controllare anche gli sviluppatori di Dyre virus (anche conosciuto come Dridex), un banking trojan. Stando alle ultime notizie, il ransomware Locky utilizza gli stessi metodi di distribuzione e ha il potenziale per generare alti profitti, che è una cosa essenziale per i cyber criminali professionisti.
Vi starete chiedendo come fa il virus ad essere così efficace. La caratteristica principale di questo virus è la sua capacità di criptare i documenti più importanti degli utenti, file e anche interi network. Dopo di che, dato che solitamente gli utenti hanno un’estrema necessità di riavere questi file, questa minaccia inizia a mostrare una nota di testo che offre di scaricare Locky Decrypter in cambio di una considerevole somma di denaro. Sembra che la quantità richiesta vari ogni volta, alcuni utenti hanno parlato di 400$ mentre altre compagnie hanno annunciato di aver perso vari milioni di dollari. Tuttavia, non sappiamo ancora se siano riusciti a recuperare i loro dati dopo aver pagato. Le vittime più fortunate sono quelle che hanno fatto un backup dei loro file in anticipo. Inoltre, mentre altri simili ransomware generano chiavi di decriptazione casuali e in modo automatico, locky è controllato manualmente. Stando agli esperti di sicurezza, questo potrebbe essere il motivo per cui il virus è considerato uno dei più complicati in circolazione.
Questo ransomware è diffuso attraverso dei file infetti allegati a messaggi email ingannevoli. Solitamente, il virus viene nascosto in un allegato Word, ma ci sono molto vittime che hanno parlato anche di allegati JavaScript infetti. Gli utenti vengono ingannati dai titoli delle email che parla di “Fatture” e dall’attivazione dei macros. Solitamente, i macros sono disabilitati di default da Microsoft per diminuire la distribuzione dei malware. Infatti nel caso in cui questi fossero attivati, verrebbe scaricato automaticamente il documento contenente il virus