Chill-Out
29-04-2011, 19:21
Venerdì 29 Aprile 2011
Di ransomware, cioè di trojan che prendono in ostaggio i dati del PC infetto chiedendo un riscatto pecuniario per riaverli indietro, se ne parla oramai da svariati anni. Di trojan che infettano il MBR per bloccare l’avvio del sistema, tuttavia, se ne parla da meno, esattamente dalla fine del 2010, quando fu isolato il primo trojan capace di sovrascrivere il MBR con del proprio codice e di bloccare l’avvio del sistema operativo se non ottenendo la password di sblocco.
La prima variante di questo trojan, denominata MBRLock, salvava una copia del MBR originale in un altro settore del disco fisso e sovrascriveva il settore 0 con il proprio codice. Chiedeva poi una password di sblocco che si poteva ottenere pagando una specifica cifra online tramite una pagina web. Una mia analisi più dettagliata di questa prima variante è disponibile in inglese a questo indirizzo (http://www.prevx.com/blog/163/Ransomware-lands-on-the-MBR.html).
In questi giorni è stata isolata una nuova variante di questo trojan. Questa volta però non chiede più di effettuare un pagamento tramite pagine web, bensì di chiamare un numero telefonico per ottenere il codice di sblocco.....continua (https://www.pcalsicuro.com/main/2011/04/ritorna-il-trojan-che-sequestra-il-mbr/)
Fonte: PC AL SICURO (https://www.pcalsicuro.com/main/)
Autore: Marco Giuliani
Di ransomware, cioè di trojan che prendono in ostaggio i dati del PC infetto chiedendo un riscatto pecuniario per riaverli indietro, se ne parla oramai da svariati anni. Di trojan che infettano il MBR per bloccare l’avvio del sistema, tuttavia, se ne parla da meno, esattamente dalla fine del 2010, quando fu isolato il primo trojan capace di sovrascrivere il MBR con del proprio codice e di bloccare l’avvio del sistema operativo se non ottenendo la password di sblocco.
La prima variante di questo trojan, denominata MBRLock, salvava una copia del MBR originale in un altro settore del disco fisso e sovrascriveva il settore 0 con il proprio codice. Chiedeva poi una password di sblocco che si poteva ottenere pagando una specifica cifra online tramite una pagina web. Una mia analisi più dettagliata di questa prima variante è disponibile in inglese a questo indirizzo (http://www.prevx.com/blog/163/Ransomware-lands-on-the-MBR.html).
In questi giorni è stata isolata una nuova variante di questo trojan. Questa volta però non chiede più di effettuare un pagamento tramite pagine web, bensì di chiamare un numero telefonico per ottenere il codice di sblocco.....continua (https://www.pcalsicuro.com/main/2011/04/ritorna-il-trojan-che-sequestra-il-mbr/)
Fonte: PC AL SICURO (https://www.pcalsicuro.com/main/)
Autore: Marco Giuliani