Roma, 20 mar. (askanews) – Un nuovo ransomware chiamato Kirk, dal nome del noto personaggio di Star Trek James T. Kirk, sarebbe il primo del suo genere a richiedere il pagamento del riscatto mediante la criptovaluta open source Monero.
A scoprirlo è stato un ricercatore di Avast. “Come riportato da diverse fonti, tra cui Bleeping Computer e Sensors Tech Forum – si legge sul sito del Cert Nazionale – i vettori di diffusione di Kirk non sono al momento noti, né risultano casi di infezioni riportati da utenti reali. Il ransomware Kirk potrebbe essere incluso in file diffusi sui social e su siti di file sharing, nascosto in programmi di utilità distribuiti gratuitamente”.
Questo ransomware “è sviluppato in Python e cifra i file dell’utente utilizzando gli algoritmi AES e RSA-4096. Kirk cifra tutti i file con determinate estensioni”. Ai file cifrati, che non vengono rinominati, prosegue l’articolo, “viene aggiunta l’estensione ‘.kirked’. Una volta terminata la fase di cifratura, Kirk apre una finestra che mostra all’utente la nota di riscatto, memorizzata in un file chiamato “RANSOM_NOTE.txt”. Il testo è molto lungo e dettagliato e include alcune immagini in ASCII Art che ritraggono i personaggi della serie Star Trek”. La nota informa la vittima “che per riottenere l’accesso ai file cifrati dovrà pagare una somma di 50 Monero (equivalenti a circa 1000 euro) entro due giorni. La somma richiesta aumenta col passare del tempo fino ad arrivare a 500 Monero”.
La nota “menziona un tool di decifratura denominato Spock, ma i ricercatori avvertono che al momento non sembra possibile recuperare i file cifrati da Kirk” (la raccomandazione degli addetti ai lavori resta comunque quella di non pagare in nessun caso il riscatto richiesto dai cybercriminali)”. Il ransomware Kirk, conclude il Cert Nazionale, “modifica alcune chiavi nel Registro di Sistema allo scopo di divenire persistente ed essere lanciato automaticamente all’avvio del computer. Il malware contiene anche codice per cancellare le copie shadow di Windows ma non è chiaro se il comando venga o meno eseguito. Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questo ransomware. Fortunatamente la capacità di individuazione di Kirk da parte dei più diffusi antivirus risulta molto elevata”.
(Fonte: Cyber Affairs)