Alla fine di febbraio si è diffusa la notizia della comparsa di una nuova minaccia per gli utenti del web, il suo nome è Kernsomware ed è un ransomware sviluppato in Italia. I primi a darne notizia sono stati gli analisti di Malware Hunter Team sul loro profilo Twitter spiegando che attualmente risulta ancora in fase di test.
Secondo gli esperti, però, Kernsomware risulterebbe già pronto per la diffusione sui sistemi Windows. Più in particolare questo ransomware, come i suoi simili, punta a criptare il contenuto di file e cartelle dei PC delle vittime chiedendo un riscatto in Bitcoin. In questo caso, una volta che il virus ha fatto breccia, prima di criptare il contenuto controllerà il funzionamento dei file taskmgr e cmd, li chiuderà ed aprirà una finestra contenente un timer:
Durante il conto alla rovescia il malware cripterà un file di esempio per mostrare il suo funzionamento. Al termine delle due ore, dovrà aver pagato il riscatto con 300 dollari in Bitcoin per poter riavere indietro i suoi file. Analizzando il codice si può ipotizzare che i creatori di Kernsomware abbiano pensato ad un malware che prima cripta i file e successivamente anche la chiave per la decodifica. Ciò che è certo è che la versione finale del virus cancellerà i file allo scadere delle due ore di tempo.
Una particolarità di Kernsomware è la modalità di scambio delle informazioni con la vittima, alla quale viene fornito un link per la richiesta di aiuto (visibile in basso a sinistra nell’immagine). Facendo clic si potrà inviare una mail ad un non meglio precisato account Gmail, con il quale si potrà comunicare per avere anche informazioni riguardo al pagamento.
A dimostrazione della cura dello sviluppo di questa minaccia c’è anche la traduzione in più lingue delle istruzioni per il riscatto. Come mostrato da Malware Hunter Team su Twitter, a seconda del sistema Windows riscontrato nel PC della vittima, potranno apparire 5 messaggi in altrettante lingue diverse (clicca sull’immagine per ingrandire).
In conclusione, Kernsomware risulta una minaccia “made in Italy” diversa da quelle già scoperte in passato, tra le quali citiamo FuckUnicorn e Ransomware2.0. L’unica somiglianza è data dalla natura del codice, che è scritto in .NET.
Cosa assai importante è che a tuttora non è stato osservato alcun attacco veicolato con questo ransomware, ma è molto probabile che la fase di test termini a breve e si comincino a segnalare campagne Kernsomware. Per evitare di essere colpiti, oltre a fare attenzione su mail e allegati, si consiglia di effettuare sempre gli aggiornamenti software per correggere le vulnerabilità eventuali e soprattutto di utilizzare soluzioni di Backup anche offline o affidandosi a provider esterni. In tal caso si acquisirebbe una maggiore sicurezza ed i propri dati sarebbero protetti anche in caso di cancellazione dei file dopo la fine del countdown.