A distanza di anni dalla prima apparizione è ritornato in auge, proprio in questi giorni, un virus “ransomware“, un tipo di codice nocivo capace di bloccare l’accesso al computer infettato e di pretendere un riscatto da parte dell’utente per ripristinare il normale accesso ai contenuti memorizzati nella macchina.
Si tratta di una forma di estorsione che qualche anno fa, nel 2006, riuscì a fare diversi danni, obbligando gli utenti a collegarsi tramite modem analogico a un numero ad altissima tariffazione, con lo scopo di chiedere un codice di sblocco per rientrare in possesso del proprio computer.
A distanza di 5 anni ecco quindi il ritorno. È notizia di queste ore, infatti, il ritorno del “ransomware”, scoperto dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e da Prevx, che hanno notato la diffusione di un virus descritto come la variante di una minaccia conosciuta con il nome di “MBRLock“.
Si tratta di un software che, una volta eseguito, crea una copia dell’MBR (Master Boot Record, il settore di avvio dell’HDD dove sono memorizzati tutti i dati necessari al caricamento del sistema operativo) salvandola in un settore diverso dal solito, mentre i dati presenti nell’MBR “originale” vengono sovrascritti con le istruzioni che impediscono il normale caricamento del sistema, facendo comparire all’utente un falso avviso che informa di come la copia di Windows in uso è illegale e che per ripristinare le funzionalità è necessario inserire il codice prodotto entro tre giorni, superati i quali il sistema non si potrà più sbloccare.
Per avere il codice di sblocco l’utente viene invitato a telefonare al numero 899 021 233 (che è stato già disattivato dalle autorità in modo da impedire la prosecuzione della truffa), andando così a far gonfiare la bolletta telefonica a causa dell’alto costo di una simile chiamata.
Il virus, diffuso tramite alcuni siti Internet e tramite le reti peer-to-peer, sembra studiato per essere diffuso maggiormente tra gli utenti italiani, svizzeri, belgi ed austriaci, dato che, secondo quanto segnalato, le numerazioni a valore aggiunto sono state attivate in questi paesi, mentre per gli altri c’è un numero 899 internazionale attivato nel Liechtenstein.
I ricercatori che hanno scoperto il “ransomware” hanno notato che il software non effettua un controllo sulla password di sblocco, ma solo sulla sua lunghezza, per questo motivo è sufficiente digitare a caso 14 caratteri per procedere con lo sblocco del sistema e ripristinare così l’MBR originale.