I ricercatori di sicurezza di Trend Micro hanno individuato una nuova variante di ransomware, denominata JIGSAW, che rappresenta una nuova evoluzione in termini di comportamento per questa categoria di malware.
Prendendo ispirazione dal film horror Saw – L’enigmista, JIGSAW tenta di coinvolgere l’utente in un gioco “psicologico”, bloccando i suoi file e minacciandolo di cancellarne una porzione sempre più consistente ogni ora se questi non ottempera alle richieste dei cyber criminali, pagando il consueto riscatto in Bitcoin entro il tempo prestabilito.
Una volta eseguito, il ransomware mostra all’utente un’immagine di Billy, il pupazzo protagonista del film, con la richiesta di riscatto (vedi Figure 1 e 2).
Figura 1 – Schermata di riscatto del ransomware JIGSAW (apertura). Fonte: Trend Micro
Figura 2 – Schermata di riscatto del ransomware JIGSAW (countdown). Fonte: Trend Micro
Il messaggio, disponibile in Inglese e Portoghese, introduce il concetto di crescita esponenziale e lo applica sia ai file che vengono cancellati, sia all’ammontare del riscatto. JIGSAW aumenta il numero di file eliminati e la quantità di denaro richiesta ogni ora. Sfruttando questo meccanismo di aumento esponenziale del numero di file che vengono eliminati in modo permanente, il malware esercita una forte pressione psicologica sugli utenti, che possono essere più facilmente indotti a pagare il riscatto per poter salvare i file rimanenti ed evitare allo stesso tempo di pagare una somma più elevata. La somma richiesta va da un minimo di circa 20$ a 150$ dopo le prime 24 ore, da pagare in Bitcoin.
JIGSAW è il primo tipo di ransomware che crea una copia di tutti i file dell’utente, cifra le copie aggiungendo l’estensione. FUN, e cancella gli originali. Alcune varianti utilizzano le estensioni .KKK, .BTC e .GWS.
La richiesta di riscatto afferma anche che, se l’utente forza il riavvio del computer, verranno eliminati definitivamente 1000 file, senza alcuna possibilità di recupero. Se l’utente non paga entro 72 ore, tutti i file cifrati verranno eliminati.
Stando a quanto riportato nell’analisi di Trend Micro, JIGSAW viene prevalentemente scaricato sul PC della vittima da un servizio di cloud storage gratuito chiamato 1fichier[.]com, già noto per aver ospitato in passato altri malware. Apparentemente, i gestori del servizio hanno già rimosso gli URL malevoli, su sollecitazione della società. Un altro sito dove è stato rilevato questo malware è hxxp://waldorftrust[.]com.
Sempre secondo Trend Micro, altri possibili vettori di infezione sono siti con contenuti per adulti, adware e altri tipi di PUA.
Alcune varianti di JIGSAW non utilizzano l’immagine di Billy, ma possono mostrare immagini pornografiche o anche dei fiori. Il funzionamento di base del malware resta comunque sempre lo stesso.
Un’altra analisi abbastanza dettagliata di JIGSAW è riportata in un post sul blog di Bleeping Computer. Nell’articolo viene anche descritto un tool in grado di decifrare i file presi in “ostaggio” da questo ransomware, ma non vi è garanzia che possa funzionare in tutti i casi.
Anche se la capacità di individuazione di JIGSAW da parte dei più diffusi antivirus appare molto elevata si raccomanda sempre, per evitare questo tipo di minacce, di mantenere il sistema, gli applicativi e il software antivirus aggiornati e di provvedere al backup completo dei propri file in maniera regolare, conservando i dati più importanti su supporti non collegati direttamente al PC.
Nel caso in cui si sia caduti vittima di un ransomware, il consiglio è sempre quello di non pagare il riscatto, sia per non alimentare questo tipo di attività criminose, sia perché non vi è alcuna certezza di riottenere l’accesso ai propri file.