Si chiamava DocEncrypter ed era un malware di “nuova generazione”, scoperto sul finire del 2012, capace di rendere inaccessibili i file DOC archiviati negli hard disk delle vittime. Da allora, questa tipologia di malware venne classificata come “ransomware” (dall’inglese “ransom”, riscatto), a indicare quei virus che, dopo aver infettato il sistema operativo, criptano i file dell’utente bloccandone l’accesso fino a quando non paga il riscatto richiesto dai cybercriminali creatori del virus.

Nella maggior parte dei casi la diffusione dei ransomware avviene attraverso email fasulle (le più diffuse usano i loghi di famosi corrieri come SDA e DHL, oppure quelli di Equitalia e TIM) che fungono da “cavallo di Troia” e invitano il destinatario a cliccare su un link o ad aprire un file allegato. Queste email, come i file ad esse allegati, sono generati e veicolati attraverso una botnet, ossia un insieme di server coordinati tra loro e dislocati in tutto il mondo che spediscono migliaia di messaggi simili ma con link e allegati diversificati. Solo in alcuni casi particolarmente fortunati, quindi, l’antivirus in uso sarà in grado di bloccare l’esecuzione di ogni specifico file generato dinamicamente sui server della botnet. Il più delle volte, non essendo riconosciuto come una minaccia, il blocco dei file si scatenerà indisturbato. L’unico modo per proteggersi è installare una sentinella in grado di segnalare e prevenire un possibile attacco come Malwarebytes Anti-Ransomware e poi, in caso di minaccia individuata e bloccata, ricorrere agli strumenti di rimozione integrati in Avast Free Ransomware Decryption Tools per debellarla definitivamente.

Hanno inoltre un periodo di incubazione praticamente nullo. L’attivazione del ransomware produce immediatamente gli effetti malevoli e dannosi come il blocco dei file di uso più comune quali DOC, XLS, MDB, JPG eccetera e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso.
I dati vengono crittografati con algoritmi estremamente sofisticati come AES o RSA, con chiavi da un minimo di 128/256 bit fino ad arrivare a 2.048 bit o più, rendendoli, di fatto, praticamente irrecuperabili.
Richiedono un riscatto, in molti casi in Bitcoin, attraverso la rete anonima Tor. Visto il notevole ritorno economico, quindi, i creatori del cryptomalware hanno tutto l’interesse a variare i file portatori del malware con la massima velocità in modo che alcun software antivirus, antispyware e antimalware possa intercettarli preventivamente.