Non pagate il riscatto al ransomware GermanWiper per nessun motivo. Una nuova ondata di infezioni informatiche “con ricatto” ha da poco colpito la Germania, come il nome del programma malevolo suggerisce, veicolata principalmente da messaggi di posta elettronica. Il CERT-Bund, cioè il Computer Emergency Response Team del governo federale, ha diffuso la raccomandazione di evitare di pagare il riscatto, poiché in nessun modo i file danneggiati verranno riportati allo stato originario. GermanWiper, a differenza di molti ransomware, non realizza una crittografia sui file dei dispositivi infettati, bensì li riscrive utilizzando il carattere zero e, così facendo, li distrugge permanentemente.
Non è chiaro esattamente da quando il ransomware sia in circolazione, ma su un forum di Bleeping Computer le segnalazioni degli utenti colpiti hanno cominciato a fioccare a partire da fine luglio. Zdnet fa sapere che su ID-Ransomware (un sito che aiuta le vittime di attacchi a risalire al tipo di programma da cui sono state colpite) GermanWiper risulta una tra le infezioni più segnalate.
Il ransomware raggiunge la vittima attraverso un messaggio di posta elettronica che si spaccia per una candidatura lavorativa: una inesistente “Lena Kretschmer” si presenta e allega un curriculum vitae in forma di file zippato. All’interno c’è uno shortcut Lnk attraverso il quale viene installato il ransomware. Mandando in esecuzione il file, tutti contenuti di cartelle e file locali vengono riscritti con il carattere 0x00 e rinominati con una nuova estensione (variabile, ma sempre composta da numeri e lettere). Una volta completato il lavoro, il ransomware fa comparire nel browser preimpostato un messaggio di richiesta di riscatto, in cui si lasciano sette giorni di tempo per pagare.
La consolazione, almeno per noi italiani, è che l’ondata di attacchi sembra essere circoscritta alla Germania. Ma certamente non sarà una buona notizia per nessuno se questo genere di minaccia, basata non sulla crittografia bensì sul letterale “azzeramento” dei file, inizierà a diffondersi nel Web.