In questo ultimo caso, la truffa consiste in un attacco che mira a estorcere denaro installando file di codifica sul computer preso di mira. Tali file sono in grado di rendere illeggibili i documenti presenti sul PC di ignari utenti, allo scopo di obbligarli poi all’acquisto di un tool di decodifica indispensabile per poter accedere nuovamente alle proprie informazioni.
L’attacco si verifica nel momento in cui l’utente accede inconsapevolmente a un sito maligno, che sfrutta una precedente vulnerabilità di Microsoft Internet Explorer la quale consente il lancio di applicazioni eseguibili senza che sia necessario alcun intervento da parte dell’utente.
Tecnicamente avviene che il sito maligno, tramite l’utilizzo del sottosistema “Guida” di Windows e di un file CHM, scarica e lancia un trojan (download-aag). Il sistema di download del trojan si connette quindi, via HTTP, a un altro sito maligno che lancia l’applicazione in grado di codificare i file sull’hard disk locale della vittima e su ogni drive mappato sul PC.
L’attacco si conclude, poi, con l’invio di un messaggio contenente le istruzioni per acquistare il tool necessario per decodificare i file, comprensivo di tutti i dettagli per effettuare il pagamento.
Si possono ottenere ulteriori informazioni circa questo tipo di attacco, le modalità di propagazione e le contromisure da adottare per proteggersi, sul sito dei Websense Security Labs.