Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.
Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.
http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html
Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.
Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.
La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.
Qui ci sono altri link che parlano dei Ransomware
http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali
qui un altro caso di cui parla Panda software
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx
Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:
http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/
Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.
Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP
Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.
AGGIORNAMENTO 18/8/07
Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".
qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.
http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148
qui ci sono altri articoli in inglese che risalgono anche al 2005
http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp
Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot
"Condizioni del servizio" :-)
21 persone compongono questa organizzazione criminale?
Non so.....
Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.
9 commenti:
Mi pare che il sito http://www.iframecash.biz/ non sia raggiungibile.
Infatti il dominio è un altro ma non lo scrivo anche se è facile trovarlo con google. E' attivo in questo momento e lo sara' ancora per molto molto tempo temo
Scusami sbronzo ma ho dovuto cancellare il tuo post. Non mi piace censurare pero ' non mi va di pubblicizzare questi infami
Ah grazie di avermelo fatto notare e di leggere il mio blog.
Non ho capito ma mi adeguo :-) mi stanno sulle balle a me quanto a te.
Il sito week.it che citi riporta questo avviso se tenti di visualizzare la pagina che hai messo nel post.
" Non sei autorizzato a visualizzare questa risorsa.
Devi loggarti."
dicevo che c'era il link diretto al sito di quegli infamoni e per quello che ho tolto il post.
Se il link aweek.it non si vede copia seleziona la stringa ed incollala nel browser. (non copiare il link con il tasto destro).
Dovresti accedere
Una curiosita',(non c entra con l argomento del post ma ...) esempio il sito vvv.comune.poggioreale.tp.it (ho fatto per curiosita' la scansione dei soliti ranges e sono sempre infestati...) ha all interno il solito script.
Ma lo script e' ancora attivo?? o ormai e' solo un pezzo di codice morto all interno del sito ??? Puoi verificare un attimo ... Grazie
Edgar
Mi sembra che da lato server abbiamo disabilitato l'exploit e che adesso non infetti (403 Forbidden). Pero' non ci vuole nulla a farlo funzionare di nuovo. Il problema è che lo script ancora sta sulle pagine web.
Posta un commento