Kaspersky lancia l'allarme: tornano i ransomware. Si tratta di malware in grado di crittografare i file contenuti nei PC connessi al web. In questo modo gli utenti si ritrovano con file illeggibili, decriptabili solo accettando di pagare un riscatto oppure attuando una serie d'azioni, come installare altri malware.
In Rete è apparsa una variante del trojan GpCode, di cui avevamo parlato nel 2008 (Ransomware: ti blocca il pc e poi ti ricattano). "GpCode è tornato ed è più forte che mai. A differenza delle varianti precedenti non cancella i file dopo la crittazione. Al contrario sovrascrive i dati nei file e ciò rende impossibile usare software di ripristino dei dati come PhotoRec, suggeriti nell'ultimo attacco", ha dichiarato Vitaly Kamluk.
Le analisi hanno mostrato che le codifiche RSA-1024 e AES-256 sono usate come "cripto-algoritmi". Il malware codifica solo parti di un file, partendo dal primo byte. L'azienda ha aggiornato i propri software aggiungendo questo nuovo trojan alla lista di quelli rilevati (Trojan-Ransom.Win32.GpCode.ax).
"Se pensate di essere infetti, vi consigliamo di non modificare nulla sul vostro sistema che potrebbe incidere su un potenziale ripristino dei dati - nel caso trovassimo una soluzione. Potete spegnere o riavviare il computer a dispetto di ciò che dice lo scrittore del malware, perché non sono stati rilevati meccanismi temporizzati che cancellano i file. "Tuttavia è meglio stare alla larga da qualsiasi cambiamento che potrebbe essere fatto al file system, causato per esempio da un riavvio del computer", ha concluso Vitaly Kamluk.
Un altro dipendente di Kaspersky ha pubblicato un aggiornamento - se vogliamo ancora peggiore. "GpCode.ax non è l'unico ransomware che abbiamo trovato oggi. Abbiamo appena scoperto un malware che sovrascrive la partizione master boot record (MBR) e richiede un riscatto per ottenere una password e ripristinare l'MBR originale. Questo malware è stato rilevato come Trojan-Ransom.Win32.Seftad.a e Trojan-Ransom.Boot.Seftad.a. Il ransomware è stato scaricato dal Trojan.Win32.Oficla.cw". Se Seftad.a viene scaricato da Oficla.cw e si avvia, il PC viene riavviato e mostra questo messaggio:
Dopo tre tentativi d'inserimento della password scorretti, il PC si riavvia e riappare il medesimo messaggio. Fortunatamente i file o l'hard disk non vengono codificati come scrive l'autore del malware. "Questo ransomware sovrascrive solo l'MBR originale con uno maligno".
"Se la vittima visita il sito dell'autore del malware le viene richiesto un pagamento di 100 dollari. Se siete stati infettati non visitate il sito web. Usate la password "aaaaaaciip" (senza virgolette) per ripristinare l'MBR originale. Se la password non funziona potete ripristinarlo con Kaspersky Rescue Disk 10". L'autore del post ha aggiornato in seguito la situazione svelando di aver rilevato una nuova versione di Trojan-Ransom.Win32.Seftad, che lavora nello stesso modo. Questa volta la password per ripristinare la partizione MBR originaria è "aaaaadabia" (senza virgolette).
Flash 10.2 Beta: GPU sotto torchio, CPU a riposo
Plug-in che si auto-installano, il no di Mozilla
AMD Bobcat e i server cloud, servono modifiche
LG Star con Tegra 2 diventa una belva Android
PS Move a 4,1 milioni, Sony risponde a Kinect
In Francia nasce il primo canale porno 3D on demand
Emtec Movie Cube D850H, NAS e doppio DTT HD
UE, indagine antitrust per fare il pelo a Google
Nokia Situations, lo smartphone fa autocoscienza
IBM exascale, collegamenti ottici sempre più vicini
Leggo PB603, il reader di Internet Bookshop Italia
iPhone iOS 4.2 riduce consumi e congestione rete
GT5: danni, aggiornamenti e funzioni rimosse
Google e Groupon, buoni sconto per circa 6 miliardi
Al Computex 2011 il funerale della TV tradizionale
Killzone 3, edizioni da collezione insuperabili
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Mac è ufficialmente vulnerabile: da Flashback a SabPub Kaspersky Pure Total Security 2.0 protegge l'intera famiglia Kaspersky One protegge PC, Mac, tablet e smartphone Il sistema WPS dei router è vulnerabile, meglio spegnerlo Kaspersky: social e mobile, insidie per gli inesperti Kaspersky Anti-virus 2012 - PR Kaspersky Antivirus 2012, sicurezza locale e cloud La botnet TDL-4 è indistruttibile, un genio del male L'antivirus Kaspersky si veste di rosso Ferrari Anti-Virus 2011 for Mac, anche Apple è sotto attacco
perchè per spegnerlo ha staccato la spina non certo per sta cosaOriginariamente inviata da an0n
Proprio l'altro giorno ho sistemato il pc del mio amico che aveva il mbr andato. Ora capisco perchè
Originariamente inviata da Tiabhal
a criptare tutto ci vuole del gran tempo,no? i file di sistema inoltre non sono protetti dalla modifica?
per quanto riguarda l'MBR,un fixmbr non basta da console?
, come faccio io.
Worm Stuxnet potrebbe spegnere la luce agli inglesi Mac immune dai virus, leggenda metropolitana Stuxnet fa suonare l'allarme: sicuri di essere sicuri? Antivirus Microsoft, l'Antitrust non può fare nulla Trend Micro vs. Microsoft, gioca sporco sull'antivirus Panda Cloud Antivirus 1.3, gratuito e senza pop-up Antivirus e attacchi, gli italiani nell'occhio del ciclone Stuxnet, il virus nucleare rinasce dalle sue ceneri Stuxnet, il virus che colpisce le centrali atomiche Microsoft: Ballmer frainteso sui 500 milioni di Windows 8
16 commenti
Commenti