Malware cripta i dati e chiede il riscatto

Malware cripta i dati e chiede il riscatto

Dietro pagamento di un "riscatto" è possibile ottenere la chiave per decrittare i propri dati, illecitamente codificati da un nuovo malware che farà molto parlare di sé

di Alessandro Bordin pubblicata il , alle 09:52 nel canale Sicurezza
 

Introdursi nei pc all'oscura degli utenti, rubare le informazioni private e criptare i dati all'interno dell'hard disk per poi chiedere un riscatto. Un riscatto non troppo esoso, che possa non far allarmare la polizia. Il crimine perfetto, quello isolato lo scorso fine settimana dalla società di sicurezza inglese Prevx, secondo la quale un trojan con funzioni di "ransomware" avrebbe attaccato numerosi PC, da singoli utenti a grossi enti, rubando credenziali di accesso e ricattando gli utenti per riavere i propri dati (come tipico appunto del malware definito "ransomware").

Il trojan, una volta individuati i file da criptare, li codifica con un algoritmo proprietario e lascia un documento in formato txt riportando la seguente scritta:

"Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".

 Fortunatamente, i dati non sono stati codificati con l'algoritmo sopra illustrato, bensì con un algoritmo molto più semplice da decodificare. Inoltre le informazioni quali username e password vengono collezionate utilizzando tecniche simili a quelle utilizzate dai rootkit, cioè prendendo il controllo di alcune API di sistema e ricavandone i dati. Anche questi dati vengono codificati attraverso un altro algoritmo e, questa volta, vengono inviati ad un server remoto, dove i malware writer possono tranquillamente scaricarli e decodificarli.

Secondo alcune stime sono già migliaia i computer che sono stati compromessi, tra cui sembrerebbero essere presenti PC di enti governativi americani del calibro di HP, L-3 Communications e altre società. "Ciò che non possiamo sapere, al momento, è se questi dati sono già stati utilizzati in qualche modo" ha dichiarato Mel Morris, chief executive della società inglese Prevx.

Al momento non ci sono state dichiarazioni dalle società vittime del ransomware, a parte il dipartimento dei trasporti americani che ha negato l'esistenza di brecce di sicurezza nei propri sistemi. L'FBI ha declinato ogni commento, affermando come non sia possibile confermare né negare l'esistenza di una indagine al riguardo.

"Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove. In fondo per una società 300$ non sono un così alto prezzo" ha commentato Marco Giuliani, malware analyst per Prevx, che ha poi continuato "Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto".

Prevx ha comunque rilasciato un tool di rimozione dell'infezione e di decodifica dei file criptati a questo indirizzo. Maggiori dettagli tecnici sono presenti a questo indirizzo.

Fonte: Prevx

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
NightStalker18 Luglio 2007, 10:06 #1
madonna che tristezza

sempre peggio i malware
black-m0118 Luglio 2007, 10:10 #2
Non è quanto già fanno i sistemi DRM?

Ad ogni modo, sono certo di ricordare che di software simili si era già parlato in passato, solo uno o due anni fa.
29Leonardo18 Luglio 2007, 10:11 #3
Che fissa sto malware!!!

Cavolo ne inventano sempre di nuove...adesso pure il riscatto
LZar18 Luglio 2007, 10:13 #4
Quello che mi "perplime" è: ma se lasciano un'email a cui contattarli non dovrebbe essere possibile risalire ai colpevoli e fargli un mazzo così in tempi ragionevolmente brevi?
MoToSeG@18 Luglio 2007, 10:13 #5
ci mancava solo il "PIZZO INFORMATICO"
deepdark18 Luglio 2007, 10:15 #6
Ma non erano già uscite un bel po di mesi fa? Mi ricordo che nel bollettino Kaspersky di circa 6/12 mesi fa già se ne parlava....
ramarromarrone18 Luglio 2007, 10:28 #7
geniale...ahahaha
goldorak18 Luglio 2007, 10:32 #8
Beh questi non sono giochetti, sono veri e propri attacchi criminali.
Kal-El18 Luglio 2007, 10:34 #9
Originariamente inviato da: goldorak
Beh questi non sono giochetti, sono veri e propri attacchi criminali.


Non vedo il problema, se vi arriva qualcosa di strano, subito dalla Polizia Postale!
canislupus18 Luglio 2007, 10:35 #10
concordo con goldorak. Questi andrebbero puniti e seriamente. Potrebbero criptarti cose realmente importanti e allora sarebbbero problemi grossi. Non sempre le cose importanti sono quelle costose...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^