Sta arrivando FuckUnicorn, il nuovo ransomware che si sta diffondendo in Italia prendendo di mira soprattutto le farmacie.
App Immuni e il virus FuckUnicorn: Attacchi ai nostri dati personali
Per diffondersi usa abilmente quella che viene definita col termine di “Ingegneria sociale” sfruttando sia il Covid19 che l’imminente arrivo dell’app Immuni. E, finalmente, un testo in italiano corretto che ora desta molto meno sospetti. Come di consueto, arriva una mail. Che sembra esser stata inviata dalla Fofi (Federazione Ordini Farmacisti Italiani) ma ahimé non è così: infatti, il dominio è fofl.it, inserendo una elle minuscola al posto della i per ingannare l’occhio.
Attenzione alla finta mail che fa scaricare il virus
La mail ci esorta a provare una versione dell’app Immuni per Pc; il messaggio è rivolto ai farmacisti, al personale universitario, ai medici e tutte le persone che lavorano per combattere il virus.
E naturalmente in calce alla mail c’è un bel link da cui scaricare quella che dovrebbe essere la nostra App, mentre quello che si scarica è proprio… il virus!
Una volta eseguito, prima appare una cartina del mappamondo raffigurante l’andamento della pandemia… e mentre sei concentrato a guardare, il ransomware inizia il proprio lavoro, crittografando tutti i dati che hai sul computer. Ogni file viene modificato con una nuova estensione e, una volta terminato il proprio lavoro, lo sfondo del desktop viene sostituito con questo: e un bel messaggio che chiede di pagare un riscatto di 300 euro in Bitcoin entro tre giorni, pena la perdita definitiva di tutti i dati.
E fin qui, il comportamento di FuckUnicorn sembra essere analogo a quello un solito ransomware, ragion per cui la preoccupazione è lecita.
Il CERT-AgID, ha analizzato questo ransomware e secondo loro chi lo ha realizzato è un dilettante: probabilmente si chiama Leonardo, dato che Leonardo risulta essere è il nome utente usato sul PC sul cui il programma malevolo è stato creato, dopo averne analizzato il codice sorgente.
Inoltre c’è il fatto che la password usata per criptare i dati viene inviata in chiaro a chi ha progettato questo ransomware; ciò significa che è possibile individuarla leggendo i log del traffico sulla rete.
Il sistema utilizzato per crearlo, inoltre, è analogo a quello di un altro noto virus che è stato praticamente clonato e poi gli ha cambiato nome.
Queste potrebbero anche essere buone notizie, peccato che l’indirizzo email che appare per comunicare con gli ideatori del ransomware sia falso:
è quindi altamente improbabile che si riesca a pagare il riscatto ottenendo i dati indietro.
Difesa e Sicurezza
Perciò è bene controllare le mail nei dettagli, prima di aprirle… oppure utilizzare il nostro servizio UESSE ANTISPAM, che permette di aprire le mail in sicurezza senza rischiare di prendersi dei virus.
