Doctor Web — produttore russo di software per la sicurezza informatica — ha creato un'utility che può decriptare file cifrati dal Trojan.Encoder.252. Gli encoder sono programmi malevoli che criptano file memorizzati sul computer compromesso dopo di che i malintenzionati domandano all'utente di pagare una somma per la possibilità di recuperare i dati. La sopraindicata versione del malware giunge sui computer delle vittime soprattutto nelle email infette che contengono false notifiche di una corte di arbitrato.
Comunemente, il trojan si propaga dentro email malevole che imitano notifiche di una corte di arbitrato. Una volta penetrato sul computer bersaglio, il malware salva la sua copia in una delle cartelle di sistema sotto il nome svhost.exe, modifica il ramo del registro di sistema ideato per l'esecuzione automatica di applicazioni e si avvia.Il Trojan.Encoder.252 cripta file solo se il computer compromesso ha una connessione a Internet. Il malware controlla una dopo altra le unità disco da C: a N: e stende un elenco di file da cifrare il quale poi salva in un file di testo. Le estensioni di file da criptare sono .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf. Quindi il Trojan.Encoder.252 controlla se sono disponibili i server remoti su cui in seguito invia la chiave di cifratura. Se i server non sono disponibili, il trojan mette sullo schermo un avviso che sarebbe una notifica della corte di arbitrato in cui invita l'utente a verificare la configurazione della connessione di rete. Se il trojan è riuscito a criptare i file, ai nomi dei file viene aggiunta la parola Crypted. Oltre a ciò, l'encoder imposta come sfondo desktop il seguente immagine con un testo in russo che da spiegazioni all'utente come recuperare i suoi dati pagando un riscatto. In particolare, i malintenzionati consigliano all'utente di trovare nel file LEGGIQUESTO.txt appositamente generato sul computer un ID di decifratura unico per ciascun computer e di inviarlo al loro indirizzo email.
Sebbene molte risorse del web ritenessero impossibile la decifratura dei file a causa di algoritmi speciali utilizzati dal Trojan.Encoder.252, il team di Doctor Web ha potuto creare un'utility che può eseguire la decifratura. Il processo richiede molto tempo (un mese) se eseguito su un computer di casa, ma su un server potente con ventiquattro processori una chiave di cifratura è stata trovata in venti ore. L'utility è diventata una sorte di banco di collaudo per le idee innovative del team di Doctor Web — tutte queste idee saranno applicate in futuro per la decifratura di file criptati da encoder. Intanto stiamo cercando nuovi metodi per combattere encoder.
Se le Vostre informazioni sono tenute in ostaggio dal Trojan.Encoder.252, seguite queste semplici regole che Vi aiuteranno a recuperare i file cifrati:
- non modificate le estensioni dei file criptati;
- non reinstallate il sistema operativo — in tale caso non sarà più possibile recuperare i dati;
- non provate di "ripulire" o di curare il sistema operativo tramite diverse utility e applicazioni speciali;
- non eseguite le utility Dr.Web senza aver parlato prima con i nostri analisti dei virus;
- fate una denuncia alla polizia;
- contattate il laboratorio antivirale di Doctor Web, inviateci un file .doc criptato dall'encoder e aspettate una risposta dei nostri analisti.
Nessun commento:
Posta un commento