Non è la prima volta che un malware viene realizzato per estorcere denaro agli utenti dei PC che va ad infettare. Dopo la variante del trojan GpCode, apparsa In Rete in questi giorni, l’ultimo dei virus di questo tipo (detti “rasomware”) si chiama “Seftad.a” ed è stato rintracciato da Kaspersky Lab.

Come riportato sul blog ufficiale di Kaspersky, questo malware è rilevato come Trojan-Ransom.Win32.Seftad.a e Trojan-Ransom.Boot.Seftad.a ed è stato scaricato dal Trojan.Win32.Oficla.cw. Dopo aver infettato il sistema, sovrascrive il Master Boot Record (MBR) con il proprio codice, rendendo così impossibile l’avvio del sistema operativo. A questo punto, quando si accende il computer, viene visualizzata una schermata che avvisa l’utente che il PC è stato bloccato e i dati contenuti si dischi rigidi sono stati criptati: per poter risolvere il problema l'utente deve digitare una password che può ottenere soltanto visitando un sito Web, dove i cyber-criminali gli richiederanno un riscatto da 100 $.

Nulla di più falso: i dati sugli hard disk non sono stati crittografati e possono essere recuperati collegando il disco rigido ad un altro PC oppure utilizzando un Live CD per accedere a file e cartelle memorizzati su di esso. Il computer dopo tre tentativi d’inserimento della password non andati a buon fine il PC si riavvia e il messaggio ricompare nuovamente sullo schermo. La soluzione, come suggerisce Kaspersky Lab, è a portata di mano: evitando assolutamente di visitare il sito Web, per ripristinare l’MBR originale basta digitare la parola chiave “aaaaaaciip” (senza virgolette). Kaspersky fa sapere anche di avere individuato una nuova versione di Seftad.a, per la quale è necessario utilizzare la password “aaaaadabia” (senza virgolette) per poter ripristinare l’MBR. Se la password non funziona Kaspersky suggerisce di utilizzare il tool Kaspersky Rescue Disk 10.