Kaspersky lancia l'allarme: tornano i ransomware. Si tratta di malware in grado di crittografare i file contenuti nei PC connessi al web. In questo modo gli utenti si ritrovano con file illeggibili, decriptabili solo accettando di pagare un riscatto oppure attuando una serie d'azioni, come installare altri malware.
In Rete è apparsa una variante del trojan GpCode, di cui avevamo parlato nel 2008 (Ransomware: ti blocca il pc e poi ti ricattano). "GpCode è tornato ed è più forte che mai. A differenza delle varianti precedenti non cancella i file dopo la crittazione. Al contrario sovrascrive i dati nei file e ciò rende impossibile usare software di ripristino dei dati come PhotoRec, suggeriti nell'ultimo attacco", ha dichiarato Vitaly Kamluk.
Le analisi hanno mostrato che le codifiche RSA-1024 e AES-256 sono usate come "cripto-algoritmi". Il malware codifica solo parti di un file, partendo dal primo byte. L'azienda ha aggiornato i propri software aggiungendo questo nuovo trojan alla lista di quelli rilevati (Trojan-Ransom.Win32.GpCode.ax).
"Se pensate di essere infetti, vi consigliamo di non modificare nulla sul vostro sistema che potrebbe incidere su un potenziale ripristino dei dati - nel caso trovassimo una soluzione. Potete spegnere o riavviare il computer a dispetto di ciò che dice lo scrittore del malware, perché non sono stati rilevati meccanismi temporizzati che cancellano i file. "Tuttavia è meglio stare alla larga da qualsiasi cambiamento che potrebbe essere fatto al file system, causato per esempio da un riavvio del computer", ha concluso Vitaly Kamluk.
Un altro dipendente di Kaspersky ha pubblicato un aggiornamento - se vogliamo ancora peggiore. "GpCode.ax non è l'unico ransomware che abbiamo trovato oggi. Abbiamo appena scoperto un malware che sovrascrive la partizione master boot record (MBR) e richiede un riscatto per ottenere una password e ripristinare l'MBR originale. Questo malware è stato rilevato come Trojan-Ransom.Win32.Seftad.a e Trojan-Ransom.Boot.Seftad.a. Il ransomware è stato scaricato dal Trojan.Win32.Oficla.cw". Se Seftad.a viene scaricato da Oficla.cw e si avvia, il PC viene riavviato e mostra questo messaggio:
Dopo tre tentativi d'inserimento della password scorretti, il PC si riavvia e riappare il medesimo messaggio. Fortunatamente i file o l'hard disk non vengono codificati come scrive l'autore del malware. "Questo ransomware sovrascrive solo l'MBR originale con uno maligno".
"Se la vittima visita il sito dell'autore del malware le viene richiesto un pagamento di 100 dollari. Se siete stati infettati non visitate il sito web. Usate la password "aaaaaaciip" (senza virgolette) per ripristinare l'MBR originale. Se la password non funziona potete ripristinarlo con Kaspersky Rescue Disk 10". L'autore del post ha aggiornato in seguito la situazione svelando di aver rilevato una nuova versione di Trojan-Ransom.Win32.Seftad, che lavora nello stesso modo. Questa volta la password per ripristinare la partizione MBR originaria è "aaaaadabia" (senza virgolette).