Canali
Ultime news
Ultimi articoli
Le ultime dal Forum |
Gpcode.ak: il virus che rapisce i file e chiede il riscatto01/07/2008 - A cura di
CorrelatiTagPassa qui con il mouse e visualizza le istruzioni per utilizzare i tag!
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa.
La trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.
In queste ultime settimane, è stata sviluppata una nuova variante del virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa, il cui compito, fin dalle sue più antiche varianti, è quello di criptare i file e i documenti della vittima. La sua prima versione utilizzava una chiave di criptazione a 660 bit e, per decriptarla, sarebbero stati necessari ben 30 anni. Fortunatamente, vi furono degli errori nella programmazione e la chiave di decriptazione fu scoperta in breve tempo. La nuova variante utilizza una chiave di criptazione RSA a 1024 bit molto più difficile da decriptare. Analisi del malwareAppena eseguito, il malware scansiona tutti i dischi rigidi e le memorie collegate al computer in cerca di file da criptare. È in grado di cifrare oltre 140 tipi di file: praticamente tutti i tipi di documenti, immagini e archivi che trova nel vostro computer, utilizzando il Microsoft Enhanced Cryptographic Provider. I file vengono criptati utilizzando due chiavi di cifratura, una pubblica e una privata. Quella pubblica è usata per criptare i file ed è contenuta nel sorgente del virus; quella privata è invece usata per decrittare i file, e viene distribuita dopo aver pagato il creatore del virus. Gpcode.ak crea un nuovo file aggiungendo il suffisso _CRYPT oltre l'estensione. Il file contiene il documento originale, che però è criptato dal virus. Il file originale viene quindi cancellato. Es. immagine.jpg --> Immagine originale, verrà poi cancellata immagine.jpg_CRYPT --> File criptato Pone in ogni cartella contenente file criptati un file nominato ! _READ_ME_!.txt, che notifica la criptazione dei documenti e invita a contattare il creatore del virus per ricevere a pagamento la chiave di decriptazione con cui potremo riavere i nostri file. Il virus risparmia i file che hanno una di queste caratteristiche:
Dopo aver criptato i file, il virus crea e lancia un file vbs che ha lo stesso nome dell'eseguibile infetto. Il suo compito è quello di cancellare il file eseguibile e di mostrare una finestra pop-up, che avvisa della criptazione dei file, invitando nuovamente a contattare via e-mail il creatore per ricevere la chiave di decriptazione: Il virus non lascia tracce nel registro di configurazione o in altre parti del sistema.
Pagina successiva
Recuperare i file criptati Pagine
Segnala ad un amico |
© Copyright 2024 BlazeMedia srl - P. IVA 14742231005