Ci eravamo augurati che la minaccia costituita da CryptoLocker e dal suo stretto parente TeslaCrypt, che ha preso in ostaggio file personali di utenti di tutto il mondo criptandoli e bloccandoli con la tipica estensione “.ecc”, fosse stata eradicata: non è così, e il nuovo erede digitale dei due terribili malware, AlphaCrypt, sembra seguire un suo destino di particolare aggressività.
AlphaCrypt, come da poco si sa, è sostanzialmente una variante di TeslaCrypt, a sua volta derivato da CryptoLocker. I file cifrati dal ransomware hanno però questa volta l’estensione “.ezz” o “.exx”, un fatto che ha reso necessaria la presenza di nuove contromisure virtuali al fine di riconoscerli e debellarli.
Essendo un’evoluzione di un malware precedentemente esistente, inoltre, AlphaCrypt non si limita a cancellare completamente i file originali presenti sul PC della vittima, fatto già di per sé particolarmente grave, ma andrà ancora più a fondo e provvederà ad eliminare anche le cosiddette “copie shadow” dei propri file, al fine di impedire il recupero di versioni di backup degli stessi.
Ricordiamo che le copie shadow (conosciute anche come Volume Snapshot Service) sono una caratteristica comparsa a partire dal primo Service Pack di Windows XP, rafforzata poi in Windows Vista grazie all’introduzione di una utility di backup più veloce e mirata.
Le copie “shadow” permettono il recupero di backup di file, cartelle o interi volumi di directory circoscritti in un dato periodo di tempo, in modo da permettere all’utente di poter disporre dei file persi, sostituendo in parte il backup tradizionale. E’ quindi evidente come AlphaCrypt faccia crollare uno dei più grandi baluardi di sicurezza di Microsoft, ovvero le utility di recupero.
Al momento, lo strumento a disposizione per debellare CryptoLocker (proposto da Talos Group, che già in passato aveva provveduto ad eliminare altri pericolosi ransomware), non è ancora aggiornato: i soli file recuperabili sono quelli criptati con l’estensione “.ecc”; mentre per “.ezz” ed “.exx”, tipici di AlphaCrypt, il recupero rimane attualmente impossibile.
Nelle ultime ore, tuttavia, anche la company russa Dr. Web, da sempre attiva nello studio di file criptati, sta cercando un modo per risolvere questo rompicapo, decodificando le estensioni incriminate. Si tratta quindi di una questione di poche ore, per debellare definitivamente anche la nuova variante di CryptoLocker, che sembra non risparmiare nessuno?
Seguiranno certamente aggiornamenti nei prossimi giorni, quindi restate sintonizzati con noi per scoprire come (e se) verrà dato il colpo finale ad una delle minacce malware più terribili degli ultimi tempi.
Lascia un commento