killdisk Fonte foto: Shutterstock
SICUREZZA INFORMATICA

KillDisk, il finto ransomware che cancella tutti i tuoi dati

Scovato dagli esperti di TrendMicro, blocca l’accesso al computer e chiede un riscatto. A ben vedere, però, non si tratta del “solito” ransomware

19 Gennaio 2018 - A muovere le fila dietro le quinte dovrebbero esserci i cybercriminali di Telebots, gruppo di origine russa specializzato in cyberspionaggio e autore, molto probabilmente, anche dell’attacco NotPetya. Insomma, un gruppo che può vantare un curriculum di tutto rispetto, al quale ora dovrebbe aggiungersi KillDisk, tra le ultime minacce informatiche a essere comparse in Rete.

Individuato dai ricercatori di MicroTrend, KillDisk ha catturato l’attenzione non tanto per la sua diffusione – al momento sembra essere limitato al continente Americano – quanto per il suo comportamento anomalo. Anche se inizialmente sembra essere uno dei tanti ransomware che dalla prima metà del 2017 stanno tormentando aziende e organizzazioni di tutto il mondo, il malware si rivela essere tutt’altro. Una trasformazione che lo rende ancora più pericoloso di quanto possa inizialmente apparire. Procediamo però con ordine.

Come si comporta KillDisk

Dopo aver infettato il computer (scaricato, magari, da un messaggio di posta elettronica o da un portale web compromesso) ed essersi installato sul disco rigido, KillDisk si prende un “quarto d’ora accademico” prima di riavviare il PC e mostrare la solita schermata con richiesta di riscatto. È quanto accade nel corso dei 15 minuti a rendere KillDisk un malware molto particolare: il software malevolo cancella tutte le cartelle presenti nell’hard disk e sovrascrive il master boot record (la sezione del disco rigido nella quale sono presenti i driver e firmware necessari ad avviare il sistema operativo) per impedire che il computer si avvii regolarmente.

Anche se l’utente dovesse decidere di pagare il riscatto, si troverebbe a fare i conti con una doppia beffa: senza chiave di sblocco e, soprattutto, senza più alcuna possibilità di recuperare i file cancellati. Insomma, KillDisk è da considerarsi un eraser più che un ransomware.

Come difendersi da KillDisk

I consigli per difendersi dall’attacco malware di KillDisk non differiscono di molto da quelli per difendersi dai ransomware e dai malware in generale. Prima di tutto, non scaricate allegati presenti in messaggi di posta poco chiari o ricevute da mittenti sconosciuti. Poi evitate di cliccare su link abbreviati, a meno che non sappiate già verso quale sito Internet condurrà.

Alla fin fine, questa nuova tipologia di malware ha, se vogliamo, anche una valenza pedagogica. KillDisk dimostra una volta di più, se ancora ce ne fosse bisogno, che non si deve mai pagare il riscatto in occasione di un’infezione ransomware. Oltre a correre il rischio di trovarsi di fronte a malware che cancellano il contenuto del disco, senza lasciare alcuna possibilità di recupero, potrebbe anche accadere che gli hacker facciano perdere le loro tracce con il malloppo e senza inviare la chiave crittografica di sblocco.

Contenuti sponsorizzati