Simplocker, il nuovo ransomware Android che chiede 16€ per ridare accesso ai file.


In questi giorni è stato individuato un nuovo ransomware, denominato Simplocker, (nome completo: Android/Simplocker.A), che colpisce gli utenti Android: a differenza del precedente Android-Trojan.Koler.A, che si limitava a mostrare un finto messaggio relativo ad una presunta violazione delle leggi, questo nuovo malware è decisamente più pericoloso, in quanto usa la crittografia per impedire l'accesso ai file presenti sulla card SD. In pratica il ransomware in questione è stato scoperto da alcuni esperti dalla ESET, (casa produttrice di software, nota per aver sviluppato l'antivirus NOD32), che ne hanno descritto in dettaglio il funzionamento. In sostanza una volta lanciato, Simplocker mostra in primo piano un messaggio in russo, mentre in background viene effettuata la scansione del contenuto della memory card e se nella memoria esterna sono contenuti documenti, immagini o video nei formati jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp e mp4, i file vengono cifrati usando l'algoritmo AES. Inoltre il suddetto testo mostrato sul display specifica che anche in questo caso l'utente non potrà più aprire i file finché non pagherà un "riscatto" di 260 hryvnia, (la valuta ucraina; pari a poco più di 16 euro), utilizzando ovviamente MoneXy, un sistema di pagamento non rintracciabile: dopo aver incassato la somma i cybercriminali sbloccheranno lo smartphone entro 24 ore; tuttavia molto spesso ciò non accade e l'utente perde anche tutti i dati. Ad ogni modo gli esperti della ESET hanno notato che Simplocker durante il suo operato contatta un cosiddetto server C&C, (sigla che sta per Command and Control; ovvero server utilizzati per coordinare le azioni di computer e dispositivi infettati da rootkit, worm o altre forme malware), ed invia alcune informazioni, (tra cui l'IMEI), ai suoi creatori. Inoltre è stato interessante scoprire che il server in questione è ospitato da un dominio .onion, quindi è nascosto dietro il network TOR. Comunque sia gli esperti hanno scoperto anche che il codice di Simplocker proviene dall'applicazione "Sex xionix" che, come quasi tutte le applicazioni contenenti virus, non si trova sul Google Play Store. Motivo per il quale i consigli degli esperti sono sempre gli stessi: installare le applicazioni solo da fonti sicure, utilizzare un buon antivirus ed effettuare periodici backup dei dati.

Di seguito il messaggio mostrato da Simplocker:
http://www.com-magazin.de/img/4/8/6/7/9/3/Simplocker-FBI-Warning_w619_h550.jpg

Commenti