venerdì 17 agosto 2007

Ransomware: la terribile minaccia di trovarsi l'HD criptato

Prendo spunto da una serie di post sul blog di Sunbelt per trattare una nuova (ma non nuovissima) grave minaccia informatica.
Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.

Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.

http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html

Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.

Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.


La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.


Qui ci sono altri link che parlano dei Ransomware

http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali

qui un altro caso di cui parla Panda software

http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx


Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:

http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/

Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.

Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP

Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.

AGGIORNAMENTO 18/8/07

Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".

qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.

http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148

qui ci sono altri articoli in inglese che risalgono anche al 2005

http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp

Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot



"Condizioni del servizio" :-)



21 persone compongono questa organizzazione criminale?
Non so.....




Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.



9 commenti:

Sbronzo di Riace ha detto...

Mi pare che il sito http://www.iframecash.biz/ non sia raggiungibile.

maverick ha detto...

Infatti il dominio è un altro ma non lo scrivo anche se è facile trovarlo con google. E' attivo in questo momento e lo sara' ancora per molto molto tempo temo

Sbronzo di Riace ha detto...
Questo commento è stato eliminato da un amministratore del blog.
maverick ha detto...

Scusami sbronzo ma ho dovuto cancellare il tuo post. Non mi piace censurare pero ' non mi va di pubblicizzare questi infami

maverick ha detto...

Ah grazie di avermelo fatto notare e di leggere il mio blog.

Sbronzo di Riace ha detto...

Non ho capito ma mi adeguo :-) mi stanno sulle balle a me quanto a te.

Il sito week.it che citi riporta questo avviso se tenti di visualizzare la pagina che hai messo nel post.

" Non sei autorizzato a visualizzare questa risorsa.
Devi loggarti."

maverick ha detto...

dicevo che c'era il link diretto al sito di quegli infamoni e per quello che ho tolto il post.
Se il link aweek.it non si vede copia seleziona la stringa ed incollala nel browser. (non copiare il link con il tasto destro).
Dovresti accedere

Edgar Bangkok ha detto...

Una curiosita',(non c entra con l argomento del post ma ...) esempio il sito vvv.comune.poggioreale.tp.it (ho fatto per curiosita' la scansione dei soliti ranges e sono sempre infestati...) ha all interno il solito script.
Ma lo script e' ancora attivo?? o ormai e' solo un pezzo di codice morto all interno del sito ??? Puoi verificare un attimo ... Grazie

Edgar

maverick ha detto...

Mi sembra che da lato server abbiamo disabilitato l'exploit e che adesso non infetti (403 Forbidden). Pero' non ci vuole nulla a farlo funzionare di nuovo. Il problema è che lo script ancora sta sulle pagine web.