Punto informatico Network

Canali
20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Gpcode.ak: il virus che rapisce i file e chiede il riscatto

01/07/2008
- A cura di
Sicurezza - La nuova variante del virus Gpcode cripta i file dell'utente e chiede un riscatto per restituirli sani e salvi.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , malware (1) , ransomware (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 286 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

In queste ultime settimane, è stata sviluppata una nuova variante del virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa, il cui compito, fin dalle sue più antiche varianti, è quello di criptare i file e i documenti della vittima.

La sua prima versione utilizzava una chiave di criptazione a 660 bit e, per decriptarla, sarebbero stati necessari ben 30 anni.

Fortunatamente, vi furono degli errori nella programmazione e la chiave di decriptazione fu scoperta in breve tempo.

La nuova variante utilizza una chiave di criptazione RSA a 1024 bit molto più difficile da decriptare.

Analisi del malware

Appena eseguito, il malware scansiona tutti i dischi rigidi e le memorie collegate al computer in cerca di file da criptare.

È in grado di cifrare oltre 140 tipi di file: praticamente tutti i tipi di documenti, immagini e archivi che trova nel vostro computer, utilizzando il Microsoft Enhanced Cryptographic Provider.

I file vengono criptati utilizzando due chiavi di cifratura, una pubblica e una privata. Quella pubblica è usata per criptare i file ed è contenuta nel sorgente del virus; quella privata è invece usata per decrittare i file, e viene distribuita dopo aver pagato il creatore del virus.

Gpcode.ak crea un nuovo file aggiungendo il suffisso _CRYPT oltre l'estensione. Il file contiene il documento originale, che però è criptato dal virus. Il file originale viene quindi cancellato.

Es. immagine.jpg --> Immagine originale, verrà poi cancellata

immagine.jpg_CRYPT --> File criptato

Pone in ogni cartella contenente file criptati un file nominato ! _READ_ME_!.txt, che notifica la criptazione dei documenti e invita a contattare il creatore del virus per ricevere a pagamento la chiave di decriptazione con cui potremo riavere i nostri file.

Gpcode_1.JPG

Il virus risparmia i file che hanno una di queste caratteristiche:

  • Ha una dimensione inferiore ai 10 byte
  • Ha una dimensione maggiore di 734003200 byte
  • Ha come attributi "Nascosto" e "Di sistema"

Dopo aver criptato i file, il virus crea e lancia un file vbs che ha lo stesso nome dell'eseguibile infetto. Il suo compito è quello di cancellare il file eseguibile e di mostrare una finestra pop-up, che avvisa della criptazione dei file, invitando nuovamente a contattare via e-mail il creatore per ricevere la chiave di decriptazione:

Gpcode_2.JPG

Il virus non lascia tracce nel registro di configurazione o in altre parti del sistema.

Pagina successiva
Recuperare i file criptati
Pagine
  1. Gpcode.ak: il virus che rapisce i file e chiede il riscatto
  2. Recuperare i file criptati
  3. Conclusioni

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.13 sec.
    •  | Utenti conn.: 118
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0