I criminali informatici cercano di ricavare introiti da qualsiasi cosa goda di favore pubblico, persino i giochi più popolari. Il malware spesso finge di essere una copia pirata o una versione mobile di un gioco, soprattutto se quest’ultimo non è stato ufficialmente pubblicato.
Una delle ultime novità è Syrk, un ransomware encryptor che si fa passare per un pacchetto di trucchi per Fortnite, un gioco che in soli due anni ha all’attivo 250 milioni di utenti. Syrk promette ai giocatori due trucchi: aimbot (uno strumento per mirare automaticamente) e WH (conosciuto anche come ESP, che scopre la localizzazione di altri utenti). In realtà, quello che fa davvero è cifrare i file delle vittime e chiedere un riscatto.
Come funziona il ransomware Syrk
Secondo i ricercatori Cyren, Syrk è una copia intatta di un ransomware open source. Una volta eseguito, il software si connette a un server command and control e disattiva i seguenti programmi:
- Windows Defender
- UAC (il sistema che richiede l’autorizzazione dell’utente per eseguire operazioni da amministratore).
- Applicazioni di monitoraggio dei processi che possono essere usate per individuare infezioni come Task Manager, Process Monitor e Process Hacker.
Inoltre, questo malware si aggiunge autonomamente all’elenco di caricamento automatico, per far sì che l’utente non possa disfarsi del problema semplicemente riavviando il computer.
Il malware inizia a localizzare e a cifrare file multimediali, documenti di testo, fogli di calcolo, archivi ZIP e RAR, file di Photoshop e Microsoft Visual Studio, e infine aggiunge al file l’estensione .SYRK.
Sullo schermo appare una richiesta di riscatto impossibile da chiudere.
https://twitter.com/leotpsc/status/1156875558174769152
Il testo con la maschera di Guy Fawkes sullo sfondo dice che l’unico modo per recuperare i file è quella di contattare i criminali via mail e pagarli. La vittima ha un tempo limitato per farlo: Syrk eliminerà i file cifrati ogni due ore, prima le cartelle con le immagini, poi quelle del desktop e infine i documenti dell’utente.
Come recuperare i file e gratis
Abbiamo una buona notizia: anche se Syrk ha penetrato nel vostro pc e ha cifrato i vostri documenti, non dovete pagare il riscatto. La sua versione attuale custodisce la chiave necessaria per decifrare i file del computer infettato in un file chiamato -pw+.txt o +dp-.txt.
Per recuperare i vostri file:
- Copiate la chiave;
- Nella finestra di richiesta del riscatto, premete su Mostra il mio ID per aprire una pagina che mostra il vostro ID e vi invita a introdurre la chiave per decifrare i file.
- Incollate la chiave nel campo corrispondente e premete Decifra i miei file.
Il programma recupererà le foto e i documenti cifrati, creando ed eseguendo due file .exe, i quali elimineranno i resti del malware.
C’è anche un altro modo per recuperare i file, anche se è più complicato. La verità è però che il malware include una componente di decifrazione che recupererà i documenti, sempre che riusciate ad estrarlo ed eseguirlo. L’infezione dovrà comunque essere eliminata manualmente.
Come proteggersi dai ransomware
Secondo i ricercatori, i dati eliminati da Syrk possono essere recuperati, anche se è possibile che abbiate bisogno dell’aiuto di esperti.
Recuperare i file grazie all’aiuto della chiave archiviata funziona, ma i creatori del malware possono impostare questo strumento per negare all’utente l’opportunità di decifrare i file senza pagare il riscatto. Come sempre, la migliore strategia è quella di evitare che il malware vi infetti.
- Non scaricate mai programmi da fonti non attendibili, nonostante vi promettano grandi vantaggi per i vostri giochi;
- Effettuate il backup dei file e custoditelo adeguatamente per far sì che nessuno possa accedervi direttamente attraverso il vostro computer. Se utilizzate hard disk o memorie USB, vanno collegate solo per effettuare i backup;
- Installate una soluzione di sicurezza di fiducia.Kaspersky Internet Security rileva Syrk come oggetto dannoso, che non potrà mai accedere ai vostri file, nonostante proviate a scaricarlo ed eseguirlo.
Fonte
Kaspersky Blog