giovedì 2 dicembre 2010

Ransomware rendono inaccessibili i dati sull’hard disk sovrascivendo MBR


Kaspersky Lab mette in guardia gli utenti circa due programmi ransomware altamente pericolosi che spazzano nuovamente via Internet. Si tratta di malware che potrebbero crittografare i file contenuti nei PC connessi al web. In questo modo gli utenti si ritrovano con file illeggibili, decriptabili solo accettando di pagare un riscatto oppure attuando una serie d'azioni, come installare altri malware.



Sono arrivate diverse segnalazioni riguardo alcune ondate di ransomware che sembrano aver preso di mira i sistemi Windows. Uno dei programmi maligni è una nuova variante del famigerato Trojan GpCode. Esso si rivolge a file con una vasta gamma di estensioni, tra cui doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, e PSD, e crittografa senza l'autorizzazione dell'utente. Il Trojan-Ransom.Win32.GpCode.ax si diffonde attraverso i siti infetti, sfrutta le vulnerabilità in Adobe Reader, Java, Quicktime Player o Adobe Flash.

A differenza delle versioni precedenti di GpCode che risalgono al 2004, questo Trojan non elimina i file dopo la crittografia, ma invece sovrascrive i dati nel file rendendo impossibile l'uso di software di recupero dati per ripristinare i dati eliminati. Il programma utilizza i potenti cripto-algoritmi RSA-1024 e AES-256. Gli esperti di Kaspersky Lab stanno analizzando attentamente la nuova versione di GpCode e stanno indagando sui modi possibili per ripristinare i dati sulle macchine colpite.


Il secondo programma ransomware, rilevato da Kaspersky Lab all'inizio di questa settimana, è un Trojan che infetta il Master Boot Record (MBR) di un computer compromesso. Due firme sono state aggiunte ai database antivirus della società di sicurezza Kaspersky Lab: il Trojan-Ransom.Win32.Seftad.a e il Trojan-Ransom.Boot.Seftad.a per i casi in cui il Master Boot Record è infetto. Dopo l'infezione, il programma maligno sovrascrive il settore di boot prima di pretendere che il proprietario del computer effettui un pagamento per una password che ripristinerà l'MBR.

A questo punto, quando si accende il computer, viene visualizzata una schermata che avvisa l’utente che il PC è stato bloccato e i dati contenuti sui dischi rigidi sono stati criptati: per poter risolvere il problema l'utente deve digitare una password che può ottenere soltanto visitando un sito Web, dove i cyber-criminali gli richiederanno un riscatto da 100 $. Per gli utenti infettati da Seftad.a si sono registrate richieste di pagamenti con cifre che arrivano fino a 1.000 dollari.


In realtà i dati sugli hard disk non sono stati crittografati e possono essere recuperati collegando il disco rigido ad un altro PC oppure utilizzando un Live CD per accedere a file e cartelle memorizzati su di esso. Il computer, dopo tre tentativi d’inserimento della password non andati a buon fine, si riavvia e il messaggio ricompare nuovamente sullo schermo. La soluzione, come suggerisce Kaspersky Lab, è evitare assolutamente di visitare il sito Web e per ripristinare l’MBR originale, basta digitare la parola chiave “aaaaaaciip”.

Kaspersky fa sapere anche di avere individuato una nuova versione di Seftad.a, per la quale è necessario utilizzare la password “aaaaadabia” per poter ripristinare l’MBR. Entrambe le parole chiave digitate senza le virgolette. Se la password non funziona Kaspersky suggerisce di utilizzare il tool Kaspersky Rescue Disk 10. Gli utenti dei prodotti Kaspersky Lab con i database antivirus aggiornati sono protetti da questi due Trojan ransomware. L'azienda raccomanda inoltre agli utenti di aggiornare regolarmente tutto il software installato sul proprio computer, per chiudere eventuali vulnerabilità.

Nessun commento:

Posta un commento