Ransomware “Immuni”: la finta app anti-Covid che chiede un riscatto.

Come era prevedibile, è in giro sul web, diffuso tramite posta elettronica, una falsa app “Immuni” che in realtà nasconde un pericolosissimo ransomware denominato FuckUnicorn

La campagna malspam sfrutta l’emergenza Covid-19 per diffondere il ransomware FuckUnicorn camuffato da app Immuni.

Il ramsoware camuffato invita a scaricare il programma da un sito che imita alla perfezione il sito della Fofi (Federazione Ordini Farmacisti Italiani) utilizzando un dominio simile a quello reale in cui è stata sostituita la lettera “i” con la lettera “elle” minuscola (da fofi a Fofl): il virus blocca il PC e poi chiede un riscatto di 300 euro.

I criminali stanno diffondendo una finta app anti-Covid mediante un’ondata di e-mail fraudolente che invitano le vittime a scaricare il file IMMUNI.exe che nasconde il ransomware FuckUnicorn.

Cosa succede se si esegue il file IMMUNI.exe

Una volta scaricato ed eseguito sul computer della vittima il file IMMUNI.exe, il ransomware FuckUnicorn mostra subito una finta mappa con la diffusione del contagio del virus Sars-CoV-2.

Si tratta, ovviamente, di un trucchetto per distrarre l’utente mentre il malware inizia la procedura infettiva. Infatti FuckUnicorn inizia subito a criptare i file presenti sul sistema Windows, quindi, e provvede a rinominarli aggiungendo l’estensione .fuckunicornhtrhrtjrjy

Al termine, visualizza sul desktop della vittima la nota di riscatto con le istruzioni per il pagamento di 300 euro in Bitcoin necessari per fornire la chiave di decodifica.

L’indirizzo e-mail indicato nella richiesta di riscatto, però, non è valido e ciò rende impossibile l’invio all’aggressore della prova di pagamento. Dalle evidenze ottenute, comunque, al momento non sembrano esserci state transazioni registrate sul wallet di criptovalute indicato nella nota di riscatto

Come riconoscere la truffa della finta app anti-Covid

Per rendere credibile la truffa, le e-mail malevoli invitano le vittime a scaricare il file infetto da un sito che imita alla perfezione il sito della Fofi (Federazione Ordini Farmacisti Italiani). In realtà, sfruttando una tecnica omomorfa, i criminal hacker hanno registrato un dominio simile a quello reale in cui è stata sostituita la lettera “i” con la lettera “elle” minuscola (da fofi a FofI).

Come difendersi dal ransomware FuckUnicorn della 'falsa Immuni'

Il ransomware FuckUnicorn nascosto nella finta app anti-Covid Immuni non è particolarmente sofisticato e per difendersi da questa nuova minaccia del ransomware FuckUnicorn camuffato da finta app anti-Covid Immuni basta seguire le consuete regole di sicurezza informatica sui propri PC sia privati che aziendali.

  • effettuare un backup dei file secondo le best practice comunemente usate nei piani di disaster recovery;
  • prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti;
  • evitare di aprire gli allegati di posta elettronica, soprattutto se sono in formato eseguibile.
  • Se si tratta di allegati di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Poiché FuckUnicorn prende di mira gli utenti Windows, conviene utilizzare il tool anti-ransomware integrato nell’antivirus Windows Defender preinstallato e attivo di default su tutte le installazioni Windows.

Articoli collegati: