domenica 25 settembre 2011

G Data scopre nuovo trojan per l'attivazione di un prodotto Windows


Gli specialisti dei laboratori G Data Software hanno individuato un nuovo programma cavallo di Troia ch estorce denaro agli utenti, utilizzando lo stile e il logo di Windows. Il malware chiede agli utenti di pagare una tassa di 100 euro per riattivare il computer. Il nuovo ransomware colpisce gli utenti di di Microsoft Windows che possiedono un licenza copia / trial. In caso di infezione, il pc viene bloccato e reso inutilizzabile. Gli esperti raccomandano di non trasferire denaro in nessun caso, non immettere dati personali o numeri della licenza ufficiale per Windows. Il malware visualizza una schermata con una falsa richiesta di attivazione di Microsoft Windows:


I prodotti G Data identificano questo particolare ransomware nel Trojan.Generic.KDV.340157 (Motore A) e Win32:Trojan-gen (Motore B). Per identificare questo tipo di minaccia, prima di tutto, non dovreste farvi ingannare dal logo ufficiale di Windows o qualsiasi altro tipo di presunta autenticità. Non pagare il denaro richiesto e non inserire qualsiasi tipo di informazioni personali o informazioni relative alla licenza originale di Windows sul sito. Il messaggio sullo schermo finge di aver verificato la genuinità della versione installata di Windows. Ma il messaggio di avviso visualizzato non appare come l'originale schermata di notifica di attivazione di Windows. Si può controllare la genuinità della versione installata di Windows sul sito ufficiale Microsoft "Windows Genuine" e si possono anche trovare lì tutte le informazioni necessarie su come attivare una copia di Windows. La vittima è invitata a pagare 100 euro con un codice coupon Ukash o Paysafecard - entrambe le valute sono disponibili in molti esercizi pubblici (uffici postali, stazioni di servizio, ecc) pre-pagate. Microsoft non chiederebbe a un cliente di pagare una tassa o multa utilizzando i codici coupon Ukash o pagamento Paysafecard. Alla vittima viene chiesto di inserire il numero di identificazione della carta prepagata e un numero di identificazione personale, insieme ad un indirizzo email o numero di telefono cellulare, su un sito web. Questo sito dichiara di essere la "Pagina di attivazione di Microsoft", che ovviamente è un falso. Anche i pulsanti che si suppongono siano collegamenti ipertestuali reali sono solo foto.



Microsoft non ha lanciato alcun tipo di servizio ufficiale su un sito web al di fuori dei domini ufficiale di Microsoft. Si può acquistare individualmente una licenza retail originale di Windows 7 licenze "attraverso uno dei tre canali: vendita al dettaglio, Original Equipment Manufacturer (OEM), o Volume Licensing (VL)", spiega Microsoft . Non si riceveranno licenze per e-mail o SMS, come lo schermo falso sopra cerca di dimostrare. Il messaggio sullo schermo vuole aggiungere risalto alla chiamata spiegando che tutti i dati memorizzati sul computer e la copia di Windows saranno definitivamente cancellati nel caso in cui l'utente ignora questo avvertimento e non attivi la versione di Windows entro 48 ore. Le analisi di Gdata Labs non hanno mostrato nessuna cancellazione dei file dopo 48 ore o più, fino adesso. La norma citata (§ 126 comma 3. diritto d'autore tedesco) è usata per suggerire che l'utente avrebbe agito in violazione di legge nel caso in cui lui / lei non esegue l'attivazione. "Questo argomento non ha fondamento, poiché questa particolare sezione e il paragrafo riguarda un argomento totalmente divers . Il metodo di presentare fatti giuridici e le conseguenze possibili non è affidabile! Le persone giuridiche non annuncierebbero una denuncia su un sito web - soprattutto non con carenze linguistiche e senza fatti concreti", spiegano i G data Labs. Le modifiche rilevate al sistema:
  • copia se stesso nella cartella di Esecuzione automatica dell'utente corrente
  • copia se stesso nella cartella di avvio di "All Users"
  • copia se stesso in% AppData% \ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX \ msvcs.exe (X è il codice per ciascuna macchina)
  • La "modalità provvisoria" non è accessibile.
Se siete caduti vittima del ramsoware, potete utilizzare G DATA Boot CD 2011, un antivirus avviabile da cd per rimuovere i virus senza caricare il sistema operativo. Il programma permette di creare un CD masterizzato per il BootScan. Per le istruzioni sul suo utilizzo potete consultare la pagina predisposta.


I consigli di G Data Labs sono i seguenti:
  1. Utilizzare un prodotto completo AV con le firme dei virus, filtro http ecc., per proteggere il vostro pc e tutti i dati digitali.
  2. Mantenere sempre il sistema operativo e browser aggiornato all'ultima versione e installare regolarmente gli aggiornamenti.
  3. Non cliccare su link sconsideratamente. Molti campi utilizzati per questo tipo di truffa cercano di attirare gli utenti con una combinazione di parole chiave relative al software e business AV.
  4. Analizzare lo stile del linguaggio e l'ortografia degli avvisi pop-up visualizzati. Troppi errori o strano fraseggio suggeriscono truffe.
  5. Ricordate che i messaggi di sistema Genuine verranno visualizzati nella lingua del sistema.
  6. Non rivelare mai informazioni personali e / o banca dati - sia via e-mail o su siti web dubbi.
  7. Non trasferire i soldi a uno sconosciuto.
La truffa è ricorda quella scoperta dal CNAIPIC a Maggio scorso, una pericolosa campagna malware che prendeva di mira gli utenti di Facebook ed aveva come obiettivo l'estorsione di denaro a mezzo carta di credito da parte di cybercriminali. In questa campagna Protezione Account aveva individuato il famoso rogue antivirus CleanThis, un ransomware tra i più ostici in circolazione.

Nessun commento:

Posta un commento