La storia del ricatto Web

Wed, 18 Jun 2008 07:08:58 GMT

Si chiama "Ransomware" e si tratta di un tipo di virus/trojan che si installa su un computer, ne cripta i files e quindi chiede il pagamento di un "riscatto" ("ransom" in inglese) per ripristinare il tutto!!!

Il primo ransomware risale al Giugno del 2006 quando ai Kaspersky Lab scoprirono che la prima versione del virus Gpcode utilizzava la tecnologia di criptazione RSA per criptare documenti contenuti nei PC infetti. A quel tempo l'algoritomo (chiave9 di criptazione era basato sui 660-bit e consisteva nel prelevare una copia dei files del PC vittima per copiarli sul computer dell'hacker, cancellarli dal PC infetto e infine, chiedere un riscatto per la restituzione.

In quell'occasione, grazie ad un errore nella codifica del virus, i tecnici del Kaspersky Lab riuscirono a identificare la chiave privata per la decriptazione dei files cosicchè si riusci a rendere inefficace il virus.

Purtroppo, a due anni di distanza, il virus Gpcode è riapparso in una forma assai più pericolosa: non solo non si sono riscontrati errori di codifica del virus, che lo renderebbero vulnerabile, ma ora la chiave di criptazione usata è addiritura a 1024-bit: impossibile risalire alla chiave privata di decriptazione, non basterbbero 30 anni di lavoro.

L'unico modo per difendersi, stavolta, è la prevenzione. Vediamo dunque come il virus si presenta, come agisce e come difendersi.

Come si presenta:

  1. Il virus si chiama Win32.Gpcode.ak ma l'estensione può anche essere .ac, .ad, .ae, .af, .ag, .ai, .f
  2. Si tratta di un file Windows PE EXE di 8030 bytes;
  3. Il virus solitamente si presenta come allegato di una email, ma può anche trovarsi su un sito Web poco affidabile.

Come agisce:

  1. Una volta installatosi nel PC, il virus si nasconde in memoria con nomi contenenti _G_P_C_.;
  2. Quindi inizia a scansionare tutti i dischi logici (hard disk o partizioni di disco) del computer vittima alla ricerca di files da criptare;il virus cripta i files con le seguenti estensioni:

    7z, abk, abd, acad, arh, arj, ace, arx, asm, bz, bz2, bak, bcb, c, cc, cdb, cdw, cdr, cer, cgi
    chm, cnt, cpp, css, csv, db, db1, db2, db3, db4, dba, dbb, dbc, dbd, dbe, dbf, dbt, dbm
    dbo, dbq, dbt, dbx, Djvu, doc,  dok, dpr, dwg, dxf, ebd, eml, eni, ert, fax, flb, frm, frt, frx, frg
    gtd, gz, gzip, gfa, gfr, gfd, h,  inc, igs, iges, jar, jad, Java, jpg, jpeg,  Jfif,  jpe,  js, jsp,  hpp
    htm,  html, key, kwm, Ldif,  lst , lsp,  lzh,  lzw,  ldr, man,  mdb,  mht, mmf, mns,mnb,mnu
    mo, msb,  msg,  mxl,  old, p12, pak, pas, pdf, pem, pfx , php, php3, php4, pl, prf, pgp, prx
    pst, pw, pwa, pwl, pwm, pm3, pm4, pm5, pm6, rar, rmr, rnd, rtf,  Safe,  sar, sig, sql, tar, tbb
    tbk, tdf, tgz, tbb, txt, uue, vb, vcf, wab, xls, xml
  3. Il virus utilizza Microsoft Enhanced Cryptographic Provider v1.0 (una utility nativa di Windows) per criptare i files;
  4. I files vengono criptati con un algoritmo RC4 che prevede una chiave di criptazione;
  5. La chiave di criptazione viene a sua volta criptata dal virus con una chiave pubblica RSA di 1024 bits di lunghezza che si trova all'interno del virus.
    Tutti gli algoritmi RSA di criptazione utilizzano due chiavi: una chiave pubblica e una privata. I files vengono criptati con la chiave pubblica e possono essere decriptati solamente se si conosce la chiave privata.
  6. Una volta criptati, i files possono essere decriptati solamente da coloro che possiedono la corrispondente chiave privata, ossia dal creatore o dal possessore del virus;
  7. I files criptati mantengono i loro nomi originali ma ad essi viene aggiunta l'estensione _CRYPT. Es. se il file originale era pippo.jpg, il file criptato si chiama pippo.jpg_CRYPT.

  8. Un file di testo chiamato !_READ_ME_!.txt viene creato in ogni cartella in cui si trovano i files criptati. Il file contiene il seguente avviso:
    Your files are encrypted with RSA-1024 algorithm.
    To recovery your files you need to buy our decryptor.
    To buy decrypting tool contact us at:
    ********@yahoo.com
  9. Files che si trovano nella cartella Programmi  Files non vengono criptati. Inoltre il virus non cripta files
    • di sistema o "nascosti"
    • di dimensioni inferiori ai 10bytes;
    • di dimensioni superiori ai 734003200 bytes
  10. Una volta esaurito il suo compito, Gpcode crea un file VBS che cancella il contenuto del virus e fa comparire la seguente finestra di messaggio
  11. Il virus non modifica alcuna sezione del registro del PC vittima.
  12. Si vocifera che il costo del "decriptatore" vada dai 20 ai 200 €. Non si tratta di una cifra elevata, e sicuramente è studiata in modo da incoraggiare l'utilizzatore inesperto e maldestro del proprio personal computer, il quale preferisce pagare pur di non fare un minimo sforzo di "igiene informatica" sul suo PC.

Come difendersi:

Purtroppo al momento non si conoscono rimedi per decriptare i files infettati ma,con un bel po' di fatica, è possibile recuperare i file originali con un software per il recupero di files cancellati da un hard disk.

L'unico modo veramente efficace è quello di prevenire il virus. I migliori software antivirus sono in grado di individuare e bloccare Win32.Gpcode.ak Tuttavia, l'antivirus deve essere mantenuto aggiornato.

Consigliamo di seguire sane norme di "igiene informatica" per evitare di infettarsi:

Autore: 

 

Se questo articolo ti è piacciuto clicca sull'icona qui accanto per conservarlo sul tuo servizio di Social Bookmaring preferito Conserva questo articolo sul tuo servizio di Social Bookmaring preferito

Scrivi una recensione o un commento all'articolo La storia del ricatto Web

Segnala l'articolo La storia del ricatto Web a un amico

Usare il computer: Sicurezza RSS feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito  XLM feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito

Tutta la storia del rootkit Sony
Google, Phishing e Berlusconi
Gli italiani come i cinesi
Sicuri con il software portatile
Il ritorno di Gpcode
La storia del ricatto Web
Che cosa sono i Rogue?
L'utente medio di Internet è stupido
Gli idioti di Internet
Guida Anti-Truffa e Anti-Dialer
Flash cookies
Sai quanti Flash Cookies ci sono nel tuo computer?
Private header: perchè non si vedono le immagini dei siti Web
Sicuri in Internet con le reti wireless
Nuove strategie di phishing: impariamo a difenderci
Che cosa è il Rock Phish Kit?
CyberBizia eletto sito sicuro
Nuovo pericolo per i dispositivi portatili USB
Alcune semplici regole di sicurezza informatica
Sicurezza PC, privacy e Rootkits
Che cosa sono i Rootkits?
Nuovo worm e dialer nello spam
Come proteggersi dal phishing Decalogo per le banche
Come proteggersi dal phishing Decalogo per i clienti
Phishing: come difendersi?
Compra un Video iPod e ricevi un virus in omaggio!
Siti italiani sotto attacco
Test sui migliori software anti-virus
I migliori antivirus
Sony Rootkit: Tutta la storia giorno per giorno
Guida Anti-Truffa e Anti-Dialers

 

Per essere sempre aggiornato sulle nostre novità, notizie e offerte speciali
scopri tutti i vantaggi della toolbar di CyberBizia prima di scaricarla
Aggregatore RSS, Chat, Web TV, Web Radio, Video YouTube, software gratis, personalizzabile e molto altro ancora ...

 

Semplicemente meraviglioso - Tratto da Watch Different

Siti Web professionali per aziende pubblicità Internet per trovare nuovi clienti

Come creare siti Web professionali per l'azienda? Creare siti Web per aziende non è un gioco: occorrono professionalità e serietà. Pubblicità e promozione per trovare clienti con Internet