- E SE UN VIRUS VI SEQUESTRA IL PC ? - IWStudio Blog - Assistenza Pc Genova - Grafica Web - Iron Web Studio

Vai ai contenuti

Menu principale:

- E SE UN VIRUS VI SEQUESTRA IL PC ?

Assistenza Pc Genova - Grafica Web - Iron Web Studio
Pubblicato da in Sicurezza ·
Tags: sicurezza
Nei giorni scorsi è stato individuato un nuovo "ransomware", cioè un codice malevolo in grado di inibire all'utente l'accesso al proprio sistema chiedendo il pagamento di una somma di denaro per risolvere la situazione. La notizia è stata riportata dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
La prima variante di questo trojan, denominata MBRLock, salvava una copia del MBR originale in un altro settore del disco fisso e sovrascriveva il settore 0 con il proprio codice. Chiedeva poi una password di sblocco che si poteva ottenere pagando una specifica cifra online tramite una pagina web.

Questo ransomware è un trojan il cui codice criptato è in grado di interagire con l' MBR del sistema, i veicoli utilizzati per la diffusione del codice malevolo sono i consueti: siti di crack, warez e siti web contenenti exploit. Il trojan utilizza l’API di Windows GetUserDefaultUILanguage per determinare la lingua in uso sul sistema e in base a questa informazione propone all'utente un numero di telefono da contattare per risolvere il problema e ritornare in pieno possesso dei propri dati. La particolarità di questo trojan è che non utilizza un singolo numero telefonico, ma contiene una lista di numeri telefonici a pagamento specifica per diverse nazioni. Il trojan analizza la lingua utilizzata dal sistema operativo che sta infettando utilizzando l’API di Windows GetUserDefaultUILanguage. Se il PC risulta essere localizzato in Italia, Austria, Belgio, Svizzera, il trojan contiene una lista di numeri a pagamento specifici per ognuna di queste nazioni. Se, altrimenti, si tratta di un altro stato, viene utilizzato un numero unico internazionale localizzato in Liechtenstein. Per quanto riguarda il numero italiano, si tratta di un numero 899, una numerazione a valore aggiunto. In questa fase si insinua una strategia interessante, molto poco tecnica e decisamente subdola: l'utente viene avvertito che i propri dati sono stati cripati, inoltre il numero di tentativi per procedere allo sblocco è limitato. Contrariamente a quanto scritto nel messaggio, i dati non sono stati in realtà criptati, né vi è un numero massimo di tentativi per sbloccare il computer. Anzi, la procedura di sblocco è molto più semplice del previsto poiché non vi è da parte del trojan un controllo preciso della password, bensì solamente della sua lunghezza. In altre parole, qualsiasi stringa di 14 caratteri andrà bene al fine di sbloccare il trojan, ad esempio “12345678901234“.

Una volta sbloccato, il trojan rimuoverà qualsiasi traccia di sé e permetterà l’avvio immediato del sistema così come era stato lasciato precedentemente all’infezione.


dal 1997
Torna ai contenuti | Torna al menu