Virus PC - Cryptolocker il virus che non perdona |
![]() |
Scritto da Giovanni Di Cecca, acm, ieee |
Sabato 06 Febbraio 2016 14:14 |
La tipologia è definita Ransom, ovvero riscatto, cioè è un virus che se attivato, prende in ostaggio tutti i dati del PC compresi eventuali dischi rigidi connessi e li rende impossibile da riaprire. In sole 24 ore, me ne sono stati segnalati più di 5 (in cerchie molto strette), ma si sta diffondendo a macchia d'olio.
Come funziona il virus In posta elettronica arriva un messaggio che è partito da un amico (una persona a cui è stata rubata l'identità della parte sinistra dell'indirizzo, ad esempio giovanni che sta prima della @) che ed ha spedito una mail ad una serie di persone (presumibilmente in rubrica dell'infetto) che ha per oggetto la data e l'ora d'invio ed un allegato .zip Quando andiamo ad aprire l'allegato questo attiva un programma virus che si impadronisce del PC e cripta, come detto, tutti i file documenti presenti nel PC (Word, Excel, PowePoint, Access, PDF, JPG, ecc.) e manda un messaggio che si deve pagare tramite TOR (acronimo di The Onion Router, un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing. Tramite l'utilizzo di Tor è molto più difficile tracciare l'attività Internet dell'utente; di fatti l'uso di Tor è finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate), per avere la chiave di decriptazione. Solo l'1% dei casi ha funzionato, ma nel restante ha fallito completamente. In pratica: "Prendi i soldi e scappa". Fino a questo momento, sempre a mia conoscenza, sono stati colpiti indirizzi @alice.it, @libero.it e, voci non confermante anche da Facebook. Per il momento, gmail.com e yahoo.it/com hotmail.it/com, ed altri indirizzi Microsoft, sembra siano immuni ATTUALMENTE NON ESISTE UNA "TERAPIA" PER RECUPERARE I DATI.
Ai dicecca.net - Editorial Video Lab. si sta cercando una soluzione che, se trovata verrà pubblicata prossimamente
Come ci si difende In primo luogo sui PC infettati non c'era un antivirus installato, quindi per prima cosa installare un anitvirus anche free come Avast o Antivir, poi se compare una mail di quel tipo eliminare il messaggio ed eventualmente segnalare a provider che era presente una mail di quel tipo (casomai allegando una foto scattata col cellulare) Di seguito ci sono le foto della mail come si presenta: Come si presenta l'E-Mail, da notare l'oggetto Il mittente ha la parte sinistra simile a quella del nostro contatto, ma a destra (il DNS è differente dal solito) File ZIP incriminato
Ecco cosa accade al PC quando è preso in ostaggio
Il testo che in quella schermata è:
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ? All of your files were protected by a strong encryption with RSA-4096. More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) How did this happen ? !!! Specially for your PC was generated personal RSA-4096 KEY, both public and private. !!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7 2. http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7 3. http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: wbozgklno6x2vfrk.onion/72557C51ED3348E7 4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION: !!! Your personal pages: http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7 http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7 http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7 !!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/72557C51ED3348E7 !!! Your personal identification ID: 72557C51ED3348E7
Short URL: http://2cg.it/2pg |