lunedì 2 novembre 2009

Gpcode, il trojan che rapisce i nostri dati


La grande diffusione di Internet e la possibilità di contattare milioni di pc in pochi secondi, ha facilitato lo sviluppo di nuove tecniche di infezione particolarmente sofisticate. Stiamo parlando della famiglia di virus di tipo Ramsomware, che gli addetti ai lavori identificano come Cryptovirus, Cryptotrojan e Cryptoworm. Il termine è composto dalle parole Ransom, che significa riscatto e dal suffisso ware di malware. Capostipite di questa nuova categoria di virus è Win32.Gpcode.ak, il quale  rende inaccessibili o inutilizzabili i dati, chiedendo addirittura un riscatto per "liberarli".

 La sua prima comparsa risale al 2006 ed è stata rilevata dalla nota software house russa Kaspersky, che mediante tracciamento dell'IP, sarebbe riuscita ad  individuarne il creatore. Dopo poco più di tre anni, il virus è tornato a farsi vivo: nella sua ultima variante, infatti, integra nuove caratteristiche fra cui la possibilità di criptare una vasta gamma di file con le più comuni estensioni, utilizzando una chiave a 1.024 bit. In questo modo viene annullata qualsiasi possibilità di "riscattare" i file presi in ostaggio mediante tecniche di "forza bruta" (si tratta di algoritmi di ricerca che, basandosi su particolari dizionari di password, cercano di trovare la combinazione giusta). 

L'infezione di Gpcode si trasmette attraverso i canali usati solitamente: reti Peer to Peer, download da siti non sicuri, e-mail, ecc. Una volta giunto nel pc vittima e avviato, il trojan inizia la sua opera analizzando l'hard disk alla ricerca di tutte le tipologie di file che rientrano nei suoi obiettivi. A questo punto, il virus codifica ogni file trovato sfruttando il servizio Microsoft Enchanced Cryptographic Provider, utilizzato dai sistemi operativi Windows per la creazione di firme digitali e codifica dei dati. Al termine della procedura, verrà mostrato il seguente messaggio: 

Your files are encrypted with RSA-1024 algorithm. To recovery you files you need to buy our decryptor. To buy decrypting tool contact us at: decrypt482@yahoo.com (i vostri file sono stati crittati con l'algoritmo RSA-1024. Per recuperare i vostri file dovete acquistare il nostro decrittatore. Per acquistare il tool di decrittazione contattateci a: decrypt482@yahoo.com).

I file crittati si possono distinguere dagli originali (cancellati dal virus) perchè rispetto ad essi riportano l'estenzione secondaria ._CRYPT. Per recuperare i dati sotto riscatto si può sfruttare una caratteristica del suo modo di agire. In sostanza, con un programma di recupero dei file cancellati, come PhotoRec (freeware), è possibile ripristinare correttamente i nomi dei file cancellati e recuperarli. Attenzione però, con questa tecnica il virus non viene estirpato, ma vengono soltanto recuperati i dati.  Inoltre, affinché questa tecnica funzioni, è essenziale che il computer non venga spento e che non vengano scritti nuovi dati.

Nessun commento:

Posta un commento