Un nuovo “ransomware” mette in pericolo la sicurezza dei nostri computer. L’allarme è stato lanciato dal CNAIPIC ("Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche"): un trojan è in grado di prendere in ostaggio un PC dopo averlo infettato. Veicoli di infezione di questo trojan, il cui codice è criptato (secondo quanto dichiarato da Marco Giuliani di PrevX è comunque semplice decifrarlo), sembrano essere i siti di crack o warez e quelli che contengono exploit. Ad ogni modo l’esecuzione del trojan richiede i diritti di amministratore di sistema, per cui su Windows 7 o Windows Vista, se la funzione UAC è abilitata, per infettare il PC l’utente deve necessariamente accettare la procedura quando compare il classico messaggio di avviso. In pratica il malware, una volta in esecuzione, utilizza una tecnica già nota: copia l’MBR (Master Boot Record) nel settore 1 del disco rigido ed inserisce nel settore 0 il proprio codice, quindi dopo due minuti effettua un riavvio forzato del computer. Al riavvio viene visualizzato un messaggio ingannevole, in lingua inglese, che induce l’utente a credere che la propria copia di Windows sia stata installata ed utilizzata in modo illegale e gli chiede di contattare un numero telefonico a pagamento per ottenere un codice di registrazione in grado di sbloccare il PC. Ovviamente, chiamando tale numero l’utente vedrà addebitato in bolletta il “conto” per ottenere il codice di sblocco (qualche mese fa invece un precedente ransomware diffuso in Rete chiedeva di effettuare il pagamento tramite un’apposita pagina Web). Il ransomware inoltre visualizza un numero telefonico a pagamento diverso a seconda della lingua del sistema operativo del PC, individuata utilizzando l’API di Windows GetUserDefaultUILanguage. Se il sistema operativo è localizzato per l’Italia, il Belgio, l’Austria e la Svizzera, il malware utilizza una serie di numeri specifici per questi Paesi, in caso contrario invece usa un numero unico internazionale localizzato in Liechtenstein. Nel messaggio, come già succede con altri ransomware, è anche riportato che i dati memorizzati sul disco rigido sono stati criptati, ma in realtà questo non è vero, anzi è solo un modo per fare pressione psicologica sull'utente. La procedura di sblocco in realtà è molto semplice: basta digitare una qualsiasi stringa composta da 14 caratteri, ad esempio “12345678901234”, per accedere al sistema ed eliminare questo fastidiosissimo malware.
|