Di ransomware, cio?? di trojan che prendono in ostaggio i dati del PC infetto chiedendo un riscatto pecuniario per riaverli indietro, se ne parla oramai da svariati anni. Di trojan che infettano il MBR per bloccare l’avvio del sistema, tuttavia, se ne parla da meno, esattamente dalla fine del 2010, quando fu isolato il primo trojan capace di sovrascrivere il MBR con del proprio codice e di bloccare l’avvio del sistema operativo se non ottenendo la password di sblocco.
La prima variante di questo trojan, denominata MBRLock, salvava una copia del MBR originale in un altro settore del disco fisso e sovrascriveva il settore 0 con il proprio codice. Chiedeva poi una password di sblocco che si poteva ottenere pagando una specifica cifra online tramite una pagina web. Una mia analisi pi?? dettagliata di questa prima variante ?? disponibile in inglese a questo indirizzo.
In questi giorni ?? stata isolata una nuova variante di questo trojan. Questa volta per?? non chiede pi?? di effettuare un pagamento tramite pagine web, bens?? di chiamare un numero telefonico per ottenere il codice di sblocco. Il trojan ?? criptato con un packer proprietario al fine di offuscare il codice originale del trojan, anche se decifrare il codice ?? un compito relativamente facile. I veicoli di infezione sono i soliti: siti di crack, warez e siti web contenenti exploit. Per poter essere eseguito richiede diritti di amministratore (in caso di Windows Vista/7, se l’UAC ?? abilitato, richiede l’accettazione del messaggio di avviso di Windows).
La particolarit?? di questo trojan ?? che non utilizza un singolo numero telefonico, ma contiene una lista di numeri telefonici a pagamento specifica per diverse nazioni. Il trojan analizza la lingua utilizzata dal sistema operativo che sta infettando utilizzando l’API di Windows GetUserDefaultUILanguage. Se il PC risulta essere localizzato in Italia, Austria, Belgio, Svizzera, il trojan contiene una lista di numeri a pagamento specifici per ognuna di queste nazioni. Se, altrimenti, si tratta di un altro stato, viene utilizzato un numero unico internazionale localizzato in Liechtenstein. Per quanto riguarda il numero italiano, si tratta di un numero 899, una numerazione a valore aggiunto.
Una volta che il trojan ha infettato il sistema operativo, attende due minuti ed effettua un riavvio forzato del sistema, cos?? che l’utente si trova immediatamente davanti al seguente messaggio:
I numeri utilizzati sono i seguenti:
Italia
899 021 233
Svizzera
0906-000 172
0906-000 169
0906-000 173
Belgio
0907 480 52
0907 480 46
Austria
0930 823 833
Liechtenstein
+423 877 0158
Contrariamente a quanto scritto nel messaggio in inglese, i dati non sono stati in realt?? criptati, n?? vi ?? un numero massimo di tentativi per sbloccare il computer. Anzi, la procedura di sblocco ?? molto pi?? semplice del previsto poich?? non vi ?? da parte del trojan un controllo preciso della password, bens?? solamente della sua lunghezza. In altre parole, qualsiasi stringa di 14 caratteri andr?? bene al fine di sbloccare il trojan, ad esempio “12345678901234“.
Una volta sbloccato, il trojan rimuover?? qualsiasi traccia di s?? e permetter?? l’avvio immediato del sistema cos?? come era stato lasciato precedentemente all’infezione.
Grazie al pronto intervento del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche e la collaborazione con la polizia internazionale, si sta procedendo alla chiusura di tali numeri telefonici.
Questo ?? Windows! ???? La cosa divertente per?? ?? quello che dici alla fine, cio?? il controllo della sola lunghezza: che stupidaggine. ????
Ahahah fantastico! Btw ?? inutile che si accusa Windows, una infezione di questo genere ?? fattibilissima anche in ambiente Linux…
“I veicoli di infezione sono i soliti: siti di crack, warez e siti web contenenti exploit. Per poter essere eseguito richiede diritti di amministratore (in caso di Windows Vista/7, se l???UAC ?? abilitato, richiede l???accettazione del messaggio di avviso di Windows).”
Ovvero, uno deve proprio volersi far del male da solo….
Beh non ?? vero… per poter modificare o dialogare con i file di sistema su Linux sei obbligato ad accedere col superaccount root, se no non accade nulla.
Quindi Linux sarebbe illeso.
Lo stesso dicasi per Windows ????
si ma diciamo con 20 anni di ritardo! E un sacco di vecchi programmi, o scritti a capocchia non vanno con UAC abilitato e si ?? costretti a disabilitarlo, e per winzozz come al solito ?? game over. Io uso la CPU per i miei calcoli, voi continuate a sprecarla per antivirus, antispyware, antimalware, antirootkit e quant’altro.
Tanto gira che ti rigira ritorna sempre il solito discorso: Linux va bene, Windows fa schifo quando non fa qualcosa, quando lo fa lo fa troppo tardi e male ????
Ed ?? anche prettamente inesatto, visto che la famiglia NT ha le ACL da quando esiste (NT 3.1 se non erro ?? stata la prima distribuita), ovviamente partiva come Administrator ma un amministratore serio creava immediatamente i gruppi e le utenze user. Con Active Directory, poi, neanche vogliamo parlare perch?? la policy di sicurezza vengono estese a livello di dominio. Quindi quale ?? la differenza con Linux? Che adesso Linux ti da subito un utenza user? Lo fa anche Windows con lo UAC. E anche Linux con 20 anni di differenza, perch?? la mia Mandrake creava come prima utenza una root. Quindi… Se poi mettiamo in evidenza che Microsoft prima aveva come prodotto Xenix (http://en.wikipedia.org/wiki/Xenix) ?? tutto dire… guerra inutile.
Ciao Marco,
oggi mi e’ capitato di vedere un pc con questa infezione, ma con un codice qualunque lungo 14 caratteri non si sblocca, dice sempre Error Forse si tratta di una nuova variante? Come faccio a avviare Windows XP?