Scoperta una variante della minaccia MBRLock. E’ in grado di salvare una copia del Matser Boot Record spostandola nel settore 1 e di sovrascrivere il contenuto del settore 0 con il proprio codice nocivo.
Sono stati battezzati “ransomware” quei particolari malware che, una volta insediatisi sul sistema, bloccano l’accesso a determinati file o risorse di proprietà dell’utente.
Tali componenti nocivi sono spesso soliti crittografare file e documenti personali rendendone impossibile la consultazione.
Il termine “ransom”, in inglese, significa “riscatto”: gli sviluppatori dei malware apparantenenti a questa tipologia, infatti, richiedono un corrispettivo economico variabile per fornire all’utente le password o comunque le istruzioni per “sbloccare” i propri file.
Il problema è che non sempre – una volta che il malware si è insediato il sistema – risulta possibile recuperare i propri file.
Negli ultimi esemplari di “ransomware”, infatti, sono state impiegate chiavi cifrate RSA a 1024 bit, oggi ancora tutt’altro che semplici da “scardinare”.
L’informazione e la prevenzione restano quindi le migliori difese. L’allerta è stato lanciato quest’oggi dal CNAIPIC italiano (“Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche”) e riguarda la scoperta di un nuovo “ransomware” che mira a prendere in ostaggio l’intero personal computer.
Come spiega Marco Giuliani (l’individuazione del malware è frutto della collaborazione tra CNAIPIC e Prevx), il “ransomware”, che appare una variante di una nota minaccia conosciuta col nome “MBRLock“, una volta in esecuzione, salva una copia del MBR del disco fisso spostandola nel settore 1 e sovrascrivendo il contenuto del settore 0 con il proprio codice nocivo.
Al successivo riavvio del sistema, l’utente si trova davanti ad una schermata recante il messaggio: “Attention! Windows activation period is exceeded. This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code. This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***. Registration code must be entered not later then three days, if it entered later the unlocking is not possible“.
Con un messaggio truffaldino si induce l’utente a credere che la propria copia di Windows sia stata installata ed utilizzata in modo illecito e lo si invita a contattare un numero telefonico con prefisso 899 in modo da ottenere un codice di sblocco.
Tale numerazione una volta raggiunta, esporrà l’utente a costi non indifferenti che gli saranno addebitati sul conto telefonico.
Giuliani spiega che, analizzando il codice del malware, si è potuto evincere come non venga effettuato alcun controllo sulla password inserita ma solo sulla sua lunghezza.
Inserendo 14 caratteri a caso, il sistema verrà immediatamente sbloccato e l’MBR originale sarà automaticamente ripristinato.
Il “ransomware” appare studiato per gli utenti italiani, svizzeri, belgi ed austriaci dal momento che le numerazioni a valore aggiunto sono state attivate proprio in questi Paesi.
Nel caso in cui l’utente utilizzi Windows in una nazione differente da quelle citate, viene mostrato un numero telefonico 899 internazionale, attivato nello stato del Liechtenstein.
I veicoli d’infezione sono i soliti, anche nel caso di quest’ultima variante di “MBRLock”.
Il malware, infatti, arriva dai circuiti peer-to-peer, mascherandosi sotto forma di software legittimo e conosciuto, da siti web ospitanti materiale in violazione delle leggi sul diritto d’autore e da pagine che sfruttano vulnerabilità del browser per installare elementi nocivi.