Un trojan sequestra il PC ma la soluzione è semplice
Un trojan individuato nei giorni scorsi blocca l'avvio del sistema e chiede un codice di 14 cifre rilasciato da un numero telefonico a pagamento. La soluzione in realtà è molto più semplice
di Fabio Boneschi pubblicata il 02 Maggio 2011, alle 10:12 nel canale SicurezzaNei giorni scorsi è stato individuato un nuovo " ransomware ", cioè un codice malevolo in grado di inibire all'utente l'accesso al proprio sistema chiedendo il pagamento di una somma di denaro per risolvere la situazione. La notizia è stata riportata dal CNAIPIC italiano ("Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche") e l'amico Marco Giuliani di PrevX ci ha aiutati a capire meglio i dettagli di questo nuovo problema.
Iniziamo a descrivere gli aspetti tecnici di questo ransomware. Nella fattispecie trattasi di un trojan il cui codice criptato è in grado di interagire con l' MBR del sistema, anche se per gli esperti di sicurezza non è stato difficile superare questa protezione; i veicoli utilizzati per la diffusione del codice malevolo sono i consueti: siti di crack, warez e siti web contenenti exploit. Il trojan utilizza l’API di Windows GetUserDefaultUILanguage per determinare la lingua in uso sul sistema e in base a questa informazione propone all'utente un numero di telefono da contattare per risolvere il problema e ritornare in pieno possesso dei propri dati.
In questa fase si insinua una strategia interessante, molto poco tecnica e decisamente subdola: l'utente viene avvertito che i propri dati sono stati cripati, inoltre il numero di tentativi per procedere allo sblocco è limitato. Le analisi di PrevX smentiscono entrambe queste informazioni, anzi Marco Giuliani aggiunge che qualsiasi sequenza di 14 caratteri provoca lo sblocco del ransomware. Questo codice ha l'unico scopo di monetizzare attraverso l'utilizzo di numeri telefonici a tariffazione a valore aggiunto, oltre ovviamente a creare il panico nell'utente che si trova di fronte all'impossibilità di avviare il PC e alla necessità di pagare dei soldi alla ricerca di un codice di sblocco inutile. Ulteriori dettagli sono disponibili qui.
32 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon so se ridere o mettermi le mani ai capelli. Non sanno più cosa inventare pur di far soldi sti maledetti
e quello che ho pensato anche io ,a qualcuno le compagnie telefoniche faranno l'accredito o si tratta di un utente PSN
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.
pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!
ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .
Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione
alla fine , dopo un paio di minuti termina con 25 virus trovati
e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"
a questo punto lancio antivir ma non trova nulla
poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok
In altre parole, qualsiasi stringa di 14 caratteri andrà bene al fine di sbloccare il trojan, ad esempio “12345678901234“.
Una volta sbloccato, il trojan rimuoverà qualsiasi traccia di sé e permetterà l’avvio immediato del sistema così come era stato lasciato precedentemente all’infezione.
...che dire un vero gentlemalware
p.s. piuttosto che dargli soddisfazione tento un fixmbr
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.
pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!
ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .
Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione
alla fine , dopo un paio di minuti termina con 25 virus trovati
e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"
a questo punto lancio antivir ma non trova nulla
poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok
Molto comune come antivirus fake via web. Comunque esiste anche quello versione desktop, ovvero il fake antivirus che ti chiede di registrare il programma per rimuovere le infezioni fasulle. Iperfastidioso, per rimuoverlo SAFE MODE + NETWORKING + CCLEANER e Malwarebytes AntiMalware.
Era accaduto sul notebook di mio padre e ci satava per cascare, meno male che ha un figlio informatico altrimenti sarebbe stata una mazzata.
Ovviamente la registrazione è via web e con carta di credito. Credo su un sito senza SSL tra l'altro. Quindi immaginiamo la sicurezza dei dati.
In altre parole, qualsiasi stringa di 14 caratteri andrà bene al fine di sbloccare il trojan, ad esempio “12345678901234“.
Una volta sbloccato, il trojan rimuoverà qualsiasi traccia di sé e permetterà l’avvio immediato del sistema così come era stato lasciato precedentemente all’infezione.
...che dire un vero gentlemalware
p.s. piuttosto che dargli soddisfazione tento un fixmbr
son d'accordo con te.. ricattatori stupidi comunque in questo caso, visto che basta mettere un codice di 14 cifre e si sblocca (so anche che non tutti lo sanno, però..)
ero su megavideo e a un certo punto si apre un altra pagina web che non ho fatto in tempo a vedere perche ho immediatamente chiuso.
pochi secondi dopo si apre un popup con su una scritta di un fantomatico
antivirus ( se non ricordo male " windows antivirus" ) che dice che il sistema è infetto.. chiudo firefox e lo riavvio ma .. sorpresa!
ogni volta che facivo partire firefox ( ma anche IE e Chrome) , la pagina web si bloccava e al suo posto partiva una scansione da questo fantomatico antivirus .
Inutile ogni tentativo di chiuderlo perche tanto ripartiva.. cosi per curiosita faccio finire la scansione
alla fine , dopo un paio di minuti termina con 25 virus trovati
e a questo punto potevi fare solo 2 cose :
pulsante "chiudi" ---- pulsante " compra l' antivirus se vuoi eliminare i 25 virus"
a questo punto lancio antivir ma non trova nulla
poi lancio spybot e mi trova un troian .. lo cancello e ritorna tutto ok
Io ho risolto in maniera più brutale un simile problema, anziche chiudere il browser o fare qualsiasi altra cosa ho premuto "reset" sul pc...
Al riavvio niente di anomalo.
sono 4 anni che li accoppio agli antivirus e se devo essere sincero loro hanno trovato sempre qualcosa,l'antivirus mai niente a meno che proprio non me li andavo a cercare!
ho notato che sono sempre gli eseguibili che beccano al 100%!
quindi consiglio a tutti di averci installati questi 2 anti-malware.
io la vedo cosi....prima i malware tipo cookie spia e programmi fasulli ti rimandano a pagine incriminate e solo dopo ti becchi una marea di virus!
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".