Individuata una nuova variante di Gpcode. Il ransomware torna a colpire

3 Dicembre 2008 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebUna pericolosa genìa di malware specializzata in tecniche crittografiche torna a far parlare di se. Trend Micro ha evidenziato la comparsa di un nuovo esemplare di Gpcode, il trojan che dal 2005 a oggi ha fatto conoscere il significato del termine ransomware, vale a dire malware specificatamente progettato per criptare i file di dati dell’utente per poi chiedere un riscatto in denaro in cambio del loro ripristino.

La nuova variante, individuata dal ricercatore Ivan Macalintal il 27 novembre, è stata classificata da Trend Micro come TROJ_RANDSOM.A e inizialmente neutralizzata attraverso Smart Protection Network, una difesa proattiva in stile cloud computing basata su un database di minacce disponibile on-line. Il trojan prende naturalmente di mira gli OS Windows (Vista e Server 2008 esclusi) e penetra nel sistema per mezzo di pagine web compromesse o grazie al deployment da parte di altro malware. Una volta mandato in esecuzione, il malware mostra una schermata che vorrebbe simulare un tipico messaggio di errore prodotto da Windows dopo il crash di un’applicazione.

TROJ_RANDSOM.A

Dietro le quinte il trojan lavora per ottenere il controllo del sistema operativo, creando i seguenti valori nel Registro di Windows per garantirsi lo start-up a ogni avvio del PC:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\{Y479C6A0-OTRV-U5KH-S1UE-E0BC10B4E666}
StubPath = “%Windows%\UNINSTLV16.exe”

Il nuovo GPcode rilascia poi svariati componenti e file di configurazione nella sottocartella “torn” della cartella dei programmi di Windows, alcuni innocui altri riconosciuti come TROJ_RANDSOM.A da Trend Miro. Una volta radicatosi sul sistema il trojan avvia subito una scansione su tutti i drive accessibili in scrittura attualmente collegati, cifrando i file individuati e rinominandoli con l’estensione “.xnc“. In ogni cartella contenete i dati criptati viene poi copiato il file “READ THIS.TXT” con le istruzioni da seguire per riavere indietro i propri dati.

Trend Micro non specifica quali tipi di file vengano presi di mira dalla nuova variante di GPcode, ma prendendo a esempio le caratteristiche standard dell’intera famiglia di malware è facile pensare ai formati più comuni di documenti e fogli di calcolo (.doc, .xls, …), archivi di file (.zip) e immagini (.jpg). Rimane poi ignoto il tipo di algoritmo utilizzato nelle operazioni di cifratura, e non è attualmente possibile valutare se la pericolosità di TROJ_RANDSOM.A possa essere paragonabile a quella di Virus.Win32.Gpcode.ak, la variante individuata da Kaspersky nel giugno del 2008 e che tanto scalpore fece per l’implementazione del potente algoritmo RSA con chiavi a 1024 bit.

Quel che è certo è che il riscatto chiesto da chi ha creato il malware ammonta a 307 dollari, somma grazie alla quale le vittime del nuovo GPcode dovrebbero ricevere un tool in grado di ripristinare i dati cifrati. Come difendersi da questa minaccia? TrendLabs, il blog ufficiale di Trend Micro, si limita a consigliare di “fare il backup dei file per non rimanere vittima del ransomware“. Un pò poco come soluzione, e un chiaro segno del fatto che contro il pericolo dei cryptovirus le armi del software antivirale risultano, allo stato attuale della tecnologia, quasi completamente spuntate.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta