Ransomware è una dicitura introdotta per caratterizzare un nuovo tipo di virus informatico in grado di prendere il controllo dei nostri dati criptandoli e richiedendo poi un vero e proprio riscatto in denaro per lo sblocco degli stessi. E dopo Petya, ecco apparire un nuovo elemento tra le file di malware informatici chiamato Mamba, il cui metodo operativo consente un blinding dell’interno disco a partire dal primo settore di avvio, il cosiddetto Master Boot Record (MBR).
La società brasiliana Morphus Labs, grazie al lavoro svolto dal ricercatore informatico interno Renato Marinho che ha condiviso tramite il suo profilo LinedIn i risultati della scoperta, ha portato alla luce in diretto discendente di Petya nei territori degli Stati Uniti, Brasile ed anche in India. Ribattezzato Mamba, il nuovo ransomware virus porta il nome originario di HDDCrypt, una dicitura che di certo non lascia spazio ad alcuna personale interpretazione.
Si tratta, per l’appunto, di un virus in grado di criptare senza alcun riserbo tutte le partizione attive del disco facendo uso si una crittografia disk-level che ben si scosta dal classico approccio individuale adottato per i file. In tal senso, tutti i file coinvolti vengono presi di mira a partire dal primo settore di avvio del disco. La diffusione avviene via e-mail sfruttando l’ingenuità de malcapitato ed aprendo la strada ad ogni tentativo di phishing inoltrato mezzo link.
A tal fine, accedere a Windows diventa cosa impossibile e l’utente si trova di fronte alla richiesta di una password utile per lo sblocco dei contenuti del disco al costo di 1 bitcoin (ovvero al cambio circa €530). Per poter procedere allo sblocco si dovranno richiedere alcune istruzioni via e-mail riportando il codice identificativo che appare in sovra impressione all’accensione del PC. Un comportamento del tutto analogo al già osservato ransomware Petya scoperto ad Aprile dalla celebre società di ricerca MalwareBytes e scardinato con effetto immediato a poche settimane dalla scoperta senza alcun utile per i malfattori, i quali non hanno ricevuto il pagamento di alcun riscatto.
In tal caso, e come più in generale in tutte le casistiche, la miglior cosa da fare è in primo luogo l’utilizzo del buon senso ed in seguito delle contromisure software (valide anche in forma gratuita) messe a disposizione di noi utenti della rete contro ransomware malware ed altre tipologie di attacco diretto ed indiretto.
