martedì 29 maggio 2012

Ransomware Polizia: software preconfenzionato e legami con altro virus


Un'applicazione ransomware che blocca i computer e chiede ai loro proprietari di pagare multe con l'accusa di aver violato diverse leggi attraverso la loro attività online. Sono stati i ricercatori di Trend Micro ad analizzare questo particolare ransomware - malware che disabilita la funzionalità del sistema e chiede soldi per il ripristino - e a fare riferimento al cavallo di Troia della polizia, ​​perché visualizza falsi messaggi che dichiarano di provenire da forze dell'ordine.

Il Trojan della polizia apparve nel 2011 e ha colpito originariamente gli utenti provenienti da diversi paesi dell'Europa occidentale, tra cui Germania, Spagna, Francia, Austria, Belgio, Italia e Regno Unito. Il messaggio rogue visualizzato dopo il blocco dei computer è localizzato nella lingua della vittima e sostiene di provenire da un ente nazionale di applicazione della legge dal paese. Adesso si rivolge anche agli utenti statunitensi e canadesi, hanno detto gli esperti malware della società di sicurezza Trend Micro.

Ai proprietari dei PC bloccati viene detto che i loro indirizzi IP sono stati coinvolti in attività illegali e sono invitati a pagare una multa utilizzando le carte prepagate come Ukash o Paysafecard. Come spiega Lucian Costantin di PC World: "gli autori del malware preferiscono questi servizi di pagamento in quanto le transazioni effettuate non possono essere invertite e sono difficili da rintracciare". Indagando sul server di comando e controllo (C & C) di recente utilizzato da questo malware, i ricercatori Trend Micro hanno scoperto modelli di messaggi progettati per gli utenti statunitensi e canadesi.

Ciò suggerisce che il campo di applicazione malware è stato esteso a questi due paesi. "Non solo è aumentato  l'elenco dei paesi, ma anche i loro obiettivi sono ora più specifici", ha scritto David Sancho, ricercatore senior delle minacce di Trend Micro in un post sul blog. "Per esempio, i voucher Ukash non sono disponibili negli Stati Uniti, in tal modo la falsa notifica di polizia degli Stati Uniti che falsifica il Computer Crime & Intellectual Property Section del Dipartimento di Giustizia Usa, cita solo PaySafeCard come metodo di pagamento accettato".


Nei messaggi canaglia visualizzati dagli utenti degli Stati Uniti si legge: "Questo sistema operativo è bloccato a causa della violazione delle leggi federali degli Stati Uniti d'America le seguenti violazioni sono state rilevate: Il tuo indirizzo IP è stato utilizzato per visitare siti web contenenti pornografia, pornografia infantile, zoofilia e gli abusi sui minori. Il computer contiene anche i file video, elementi di violenza e la pornografia infantile! messaggi di spam con il fine di terrorismo sono stati inviati anche dal vostro computer. Questo blocco del computer è il compito per arrestare l'attività illegale".

L'utente è invitato a pagare una multa pari a 100 dollari o 100 euro (o in altra moneta locale) tramite Paysafecard e il messaggio è accompagnato dai loghi di diversi supermercati e catene di negozi da quali possono essere acquistati voucher Paysafecard. I ricercatori Trend Micro hanno scoperto indizi che suggeriscono un legame tra questo "Trojan della polizia" e Win32/Gamarue, un pezzo di malware che ruba informazioni distribuiti attraverso attacchi drive-by download lanciati da siti web infetti ed e-mail spam con allegati .zip.

Ci sono anche segnali che il software C & C utilizzato per gestire i computer infettati da questo Trojan horse viene rivenduto, il che significa che le bande di criminalità informatica potrebbero continuare a diffondere questo ransomware. "Al di là della facciata di questo attacco criminale, sappiamo che c'è una banda di lingua russa, che abbiamo teorizzato nel nostro ultimo articolo, che ha avuto un collegamento al nuovo worm Gamarue che sta facendo il giro negli ultimi mesi", ha detto il ricercatore Sancho.

Adesso si è aggiunta anche la SIAE alla lunga lista dei soggetti che bloccano il computer per simulare presunte violazioni di copyright o attività illecite. E’ la stessa SIAE che ha smentito con un comunicato ufficiale qualsiasi azione presa con lo scopo di bloccare il computer degli utenti. Si tratta quindi di una truffa che si sta diffondendo tramite un malware e che ha già fatto numerose vittime. Potete leggere la relazione completa sul Trojan della polizia nella sezione del sito web di Trend Micro http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_police_trojan.pdf

8 commenti:

  1. Salve!

    Complimenti per l'articolo! davvero interessante!

    sul site di paysafecard si legge "Non pagare la "multa" richiesta!"

    comunque ci sono molti che hanno pagato ma penso che bisogna informarsi meglio per sapere cosa fare si troviamo questi messaggi

    RispondiElimina
  2. Salve, ed ancora continua con la falsa pagina della Polizia

    RispondiElimina
    Risposte
    1. ...virus beccato su youporn, a momenti mi prende un'infarto ! pc bloccato ed intimidazione al pagamento entro 72 ore /sanzione di 100 euro

      ho annotato IP.109.116.160.202
      ITALY MELZO
      GTS CENTRAL EUROPE

      files n o4 dll spostati in cestino ed eliminati

      con il pc sono una schiappa, spero sia sufficiente !

      Elimina