Un trojan sequestra il PC ma la soluzione è semplice

Un trojan sequestra il PC ma la soluzione è semplice

Un trojan individuato nei giorni scorsi blocca l'avvio del sistema e chiede un codice di 14 cifre rilasciato da un numero telefonico a pagamento. La soluzione in realtà è molto più semplice

di Fabio Boneschi pubblicata il , alle 10:12 nel canale Sicurezza
 

Nei giorni scorsi è stato individuato un nuovo " ransomware ", cioè un codice malevolo in grado di inibire all'utente l'accesso al proprio sistema chiedendo il pagamento di una somma di denaro per risolvere la situazione. La notizia è stata riportata dal CNAIPIC italiano ("Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche") e l'amico Marco Giuliani di PrevX ci ha aiutati a capire meglio i dettagli di questo nuovo problema.

Iniziamo a descrivere gli aspetti tecnici di questo ransomware. Nella fattispecie trattasi di un trojan il cui codice criptato è in grado di interagire con l' MBR del sistema, anche se per gli esperti di sicurezza non è stato difficile superare questa protezione; i veicoli utilizzati per la diffusione del codice malevolo sono i consueti:  siti di crack, warez e siti web contenenti exploit. Il trojan utilizza l’API di Windows GetUserDefaultUILanguage per determinare la lingua in uso sul sistema e in base a questa informazione propone all'utente un numero di telefono da contattare per risolvere il problema e ritornare in pieno possesso dei propri dati.

In questa fase si insinua una strategia interessante, molto poco tecnica e decisamente subdola: l'utente viene avvertito che i propri dati sono stati cripati, inoltre il numero di tentativi per procedere allo sblocco è limitato. Le analisi di PrevX smentiscono entrambe queste informazioni, anzi Marco Giuliani aggiunge che qualsiasi sequenza di 14 caratteri provoca lo sblocco del ransomware. Questo codice ha l'unico scopo di monetizzare attraverso l'utilizzo di numeri telefonici a tariffazione a valore aggiunto, oltre ovviamente a creare il panico nell'utente che si trova di fronte all'impossibilità di avviare il PC e alla necessità di pagare dei soldi alla ricerca di un codice di sblocco inutile. Ulteriori dettagli sono disponibili qui.

33 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
predator8702 Maggio 2011, 10:18 #1
Ma assurdo
Non so se ridere o mettermi le mani ai capelli. Non sanno più cosa inventare pur di far soldi sti maledetti
piererentolo02 Maggio 2011, 10:39 #2
L' 899 sarà intestato a qualcuno...
supplyplus02 Maggio 2011, 11:45 #3
Originariamente inviato da: piererentolo
L' 899 sarà intestato a qualcuno...


e quello che ho pensato anche io ,a qualcuno le compagnie telefoniche faranno l'accredito o si tratta di un utente PSN
svl202 Maggio 2011, 11:48 #4
a me l' altro giorno è successa una cosa particolare..
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.

pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!

ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .

Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione

alla fine , dopo un paio di minuti termina con 25 virus trovati

e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"


a questo punto lancio antivir ma non trova nulla

poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok

omerook02 Maggio 2011, 12:19 #5
edit:

In altre parole, qualsiasi stringa di 14 caratteri andrà bene al fine di sbloccare il trojan, ad esempio “12345678901234“.

Una volta sbloccato, il trojan rimuoverà qualsiasi traccia di sé e permetterà l’avvio immediato del sistema così come era stato lasciato precedentemente all’infezione.


...che dire un vero gentlemalware

p.s. piuttosto che dargli soddisfazione tento un fixmbr
Rjio02 Maggio 2011, 12:20 #6
Io rimango sempre dell'idea che la gente che fa queste cose va pestata a sangue, non c'è cosa più odiosa dei ricattatori che sperano pure di farla franca.
Relok02 Maggio 2011, 12:58 #7
Originariamente inviato da: svl2
a me l' altro giorno è successa una cosa particolare..
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.

pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!

ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .

Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione

alla fine , dopo un paio di minuti termina con 25 virus trovati

e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"


a questo punto lancio antivir ma non trova nulla

poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok



Molto comune come antivirus fake via web. Comunque esiste anche quello versione desktop, ovvero il fake antivirus che ti chiede di registrare il programma per rimuovere le infezioni fasulle. Iperfastidioso, per rimuoverlo SAFE MODE + NETWORKING + CCLEANER e Malwarebytes AntiMalware.

Era accaduto sul notebook di mio padre e ci satava per cascare, meno male che ha un figlio informatico altrimenti sarebbe stata una mazzata.

Ovviamente la registrazione è via web e con carta di credito. Credo su un sito senza SSL tra l'altro. Quindi immaginiamo la sicurezza dei dati.
predator8702 Maggio 2011, 13:06 #8
Originariamente inviato da: omerook
edit:

In altre parole, qualsiasi stringa di 14 caratteri andrà bene al fine di sbloccare il trojan, ad esempio “12345678901234“.

Una volta sbloccato, il trojan rimuoverà qualsiasi traccia di sé e permetterà l’avvio immediato del sistema così come era stato lasciato precedentemente all’infezione.


...che dire un vero gentlemalware

p.s. piuttosto che dargli soddisfazione tento un fixmbr




Originariamente inviato da: Rjio
Io rimango sempre dell'idea che la gente che fa queste cose va pestata a sangue, non c'è cosa più odiosa dei ricattatori che sperano pure di farla franca.


son d'accordo con te.. ricattatori stupidi comunque in questo caso, visto che basta mettere un codice di 14 cifre e si sblocca (so anche che non tutti lo sanno, però..)
fax_modem_56k02 Maggio 2011, 13:19 #9
Originariamente inviato da: svl2
a me l' altro giorno è successa una cosa particolare..
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.

pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!

ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .

Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione

alla fine , dopo un paio di minuti termina con 25 virus trovati

e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"


a questo punto lancio antivir ma non trova nulla

poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok



Io ho risolto in maniera più brutale un simile problema, anziche chiudere il browser o fare qualsiasi altra cosa ho premuto "reset" sul pc...
Al riavvio niente di anomalo.
geko11902 Maggio 2011, 13:25 #10
io ho notato che alla fine gli antivirus nonostante il database più grande eliminano dei virus che sono difficili da beccare,mentre quelli che alla fine becchi più facilmente sono sempre trovati da spybot e malware-bites anti-malware.
sono 4 anni che li accoppio agli antivirus e se devo essere sincero loro hanno trovato sempre qualcosa,l'antivirus mai niente a meno che proprio non me li andavo a cercare!
ho notato che sono sempre gli eseguibili che beccano al 100%!
quindi consiglio a tutti di averci installati questi 2 anti-malware.
io la vedo cosi....prima i malware tipo cookie spia e programmi fasulli ti rimandano a pagine incriminate e solo dopo ti becchi una marea di virus!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^