Vai al contenuto
Finite le epidemie di virus? Non proprio

Finite le epidemie di virus? Non proprio

Zitto zitto, Conficker infetta tre milioni e mezzo di utenti

Anche a voi pare strano che da un bel po’ di tempo a questa parte non ci siano più le epidemie di virus informatici che periodicamente si scatenavano in passato? Infatti ci sono ancora, ma sono diventate più discrete, ora che lo scopo delle infezioni non è fare danni visibili, ma introdursi di soppiatto per poi usare il sistema infetto per altri crimini.

F-Secure segnala appunto Conficker, noto anche come Downadup, che si aggira per la Rete da novembre scorso e sfrutta una vulnerabilità di Windows (la MS08-067) che Microsoft ha già corretto da tempo (da ottobre 2008). L’ultimo conteggio indica che i PC infettati nel mondo sono oltre tre milioni e mezzo.

E’ una stima piuttosto precisa, perché una delle caratteristiche di Conficker è quella di “chiamare casa”: dopo essersi insediato nel computer della vittima, si collega automaticamente a vari siti, dai quali scarica un programma ostile scelto dai suoi padroni. Una tecnica in sé non nuova, ma proposta qui con una variante che la rende molto più pericolosa che in passato.

Infatti gli altri virus che “chiamavano casa” potevano essere bloccati in un modo molto semplice: i responsabili della sicurezza di Internet facevano bloccare l’accesso al sito chiamato dal virus, che così non poteva più scaricare nulla o prendere ordini dai suoi malvagi creatori. Una decapitazione efficace e radicale che invece non fa un baffo a Conficker, perché questo virus (più propriamente un worm, visto che si autopropaga) si collega ogni giorno a un sito differente.

Conficker sa a quale sito collegarsi perché contiene, come dice F-Secure, “un algoritmo complesso che cambia quotidianamente e si basa sui timestamp di siti pubblici come Google.com e Baidu.com. Con questo algoritmo, il worm genera molti nomi di dominio possibili ogni giorno. Centinaia di nomi, come : qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org (F-Secure li scrive spaziandoli per motivi di sicurezza). Così diventa impossibile farli chiudere tutti per tempo, anche perché molti di questi nomi non vengono neanche attivati e registrati. Ai criminali basta invece scegliere uno solo di questi nomi, registrarlo e collocarvi il proprio sito e software per avere pieno accesso ai computer delle vittime. Astuto.

Questo sistema è però sfruttabile anche da società di sicurezza come appunto F-Secure, che è riuscita a prevedere alcuni di questi nomi di dominio e li ha registrati e attivati: si è così infiltrata e riesce a monitorare l’infezione. In teoria potrebbe anche agire sui computer infettati, ma sarebbe contro le regole (sarebbe un’intrusione). Da qui deriva il conteggio preciso delle vittime. Symantec ha pubblicato i dati di un monitoraggio analogo.

L’altra particolarità di Conficker è l’ingegneria sociale che adopera per convincere le sue vittime: come spiega Sans.org, questo worm non si limita a sfruttare la falla MS08-067 sui computer non aggiornati (e chi non li ha aggiornati è un incosciente), ma tenta di scoprire per forza bruta le password di amministratore sulle reti locali, si propaga utilizzando le condivisioni di rete locale e soprattutto infetta i dispositivi rimovibili (penne USB, dischi esterni) creandovi un particolare file autorun.inf e depositandovi una DLL.

Per definizione, qualsiasi file autorun.inf viene eseguito automaticamente dalla funzione Autoplay di Windows quando si inserisce un disco o un CD/DVD o una penna USB (bella furbata, direte voi). Questo vuol dire che se inserite nel vostro computer Windows una penna USB infettata da Conficker, Windows aprirà automaticamente il file autorun.inf scritto dal worm e ne eseguirà le istruzioni.

Per esempio, sotto Windows Vista verrà presentata automaticamente una finestra come questa:

Qui scatta l’ingegneria sociale: la prima icona etichettata innocuamente “Open folder to view files” (“apri la cartella per visualizzare i file”) sembra appartenere a Windows, e in effetti è così, ma è stata richiamata da Conficker, che la usa come travestimento. Cliccando sull’icona, infatti, verrà lanciato Conficker e il computer verrà infettato.

I rimedi contro questo genere di infezione sono molteplici:

  • aggiornare Windows con gli aggiornamenti automatici e gratuiti di sicurezza
  • usare un antivirus aggiornato per scandire tutto quello che viene inserito o collegato al computer
  • disabilitare funzioni intrinsecamente pericolose, come l’Autoplay (le istruzioni sono facilmente reperibili in Rete a seconda della versione di Windows, per esempio qui)
  • evitare l’uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
  • non cliccare prima di riflettere sul senso del messaggio sullo schermo

Una chicca finale: secondo The Register, Conficker evita di attaccare computer che si trovano in Ucraìna. Questo potrebbe indicare dove risiedono i suoi padroni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Infezioni anche per cornici digitali

Infezioni anche per cornici digitali

Aiuto, c’è un virus nel mio portafoto

Belli, i portafoto digitali: costano sempre meno e sono un regalo ideale per chi non ha dimestichezza con la tecnologia ma ne apprezza le potenzialità. Il problema è che anche questi oggetti sono a rischio virus.

Samsung ha infatti distribuito alcune versioni del modello SPF-85H da 8 pollici fornendo nella confezione un CD d’installazione infetto, che contiene il worm Sality. Il CD serve per usare la cornice come monitor USB su computer Windows XP: chi ne installa il contenuto su XP si trova con un virus che, fra le altre piacevolezze, registra tutto quello che viene digitato, secondo Sophos. Gli utenti di Vista non sono affetti.

Amazon ha già pubblicato un avviso che spiega come ripulire i computer infetti.

E con questo episodio la lista di dispositivi infettabili si arricchisce di una nuova voce, come nota Trend Micro: abbiamo già visto navigatori e lettori MP3, compresi gli iPod, afflitti da virus alla consegna. Adesso bisogna fare attenzione anche ai portafoto. L’importante, al di là della portata del singolo incidente, è sapere che occorre prendere delle precauzioni e scandire quindi con un antivirus aggiornato anche i CD d’installazione forniti insieme ai vari apparecchi digitali.

Altre fonti: Internet Storm Center, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: Apple consiglia antivirus

Antibufala: Apple consiglia antivirus

Apple raccomanda antivirus per Mac: fine di un mito? Non proprio

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Vignetta di Moise, pubblicata inizialmente su AFNews e ripubblicata qui per gentile concessione dell’autore.

Panico generale fra gli utenti Mac. Una pagina del sito Apple raccomanda di usare un antivirus sui luccicanti prodotti contraddistinti dalla mela morsicata. E’ la “fine di una leggenda”, titola Repubblica. Altri siti rispettati della Rete, come BBC, Network World e The Register, riportano la notizia. Dunque anche il Mac sarebbe vittima dei virus. Ma poi arriva la smentita. Alcuni siti la pubblicano, altri no. Confusione totale.

Cos’è successo? Semplice: Brian Krebs, del Washington Post, ha pubblicato l’1/12/08 una notizia in cui ha scritto che Apple ha inserito senza troppo clamore nel proprio sito una nuova pagina di supporto tecnico che consiglia agli utenti Mac di installare Intego VirusBarrier X5, Symantec Norton Anti-Virus 11 oppure McAfee VirusScan. La notizia è stata ripresa da vari siti senza controllarla e si è disseminata freneticamente.

La segnalazione è stata vista infatti come un clamoroso cambiamento per il mondo Apple, che da sempre gode del mito della sua (supposta) invulnerabilità ai virus. E’ appunto un mito: si può eccome creare software ostile per Mac, ma è tecnicamente più difficile e meno remunerativo per via del bacino d’utenza più ristretto rispetto al mondo Windows.

Ma poi è saltato fuori che la pagina di supporto tecnico di Apple in realtà non è affatto nuova: risale al 2007. Sembrava nuova perché riportava il 21 novembre scorso come data di ultimo aggiornamento, ed è stata aggiornata per fare riferimento alle versioni correnti degli antivirus che cita. Gizmodo ha pubblicato i dettagli.

Nessun cambiamento di politica, insomma, da parte di Apple. Tanti hanno abboccato alla notizia errata perché era appagante: che soddisfazione, poter scrivere che finalmente anche gli utenti Mac con la puzza sotto il naso devono subire la stessa persecuzione virale che affligge il resto dell’utenza informatica (almeno quella Windows).

Purtroppo Apple, così brava a usare i media quando si tratta di lanciare un nuovo prodotto, si chiude sistematicamente a riccio quando si parla di sicurezza. La pagina in questione è stata rimossa completamente e senza spiegazioni (immagine qui accanto). E Apple ci ha messo un bel po’ prima di rispondere ai media che chiedevano chiarimenti.

Finalmente Macworld ha pubblicato questa dichiarazione di Bill Evans, portavoce della Mela: “Abbiamo rimosso l’articolo del KnowledgeBase perché era vecchio e impreciso… il Mac è progettato con tecnologie integrate che forniscono protezione contro il software ostile e le minacce alla sicurezza direttamente, appena lo si toglie dall’imballo… dato che nessun sistema può essere immune al 100% a qualunque minaccia, usare software antivirale può fornire protezione supplementare”.

Molto rumore per nulla, insomma, e tutto è come prima: un bell’esempio di come il giornalismo può lasciarsi prendere dall’entusiasmo per una notizia che fa scalpore e appaga qualche sentimento (in questo caso, l’invidia per il mondo Mac e il risentimento verso certi utenti Mac che se la tirano un po’ troppo).

La vicenda, comunque, è a suo modo utile, perché offre lo spunto per ricordare che l’immunità dei Mac è un mito e che la realtà è ben diversa: il rischio virale di un Mac è indubbiamente di gran lunga inferiore a quello di un PC Windows, ma non è zero. Anzi, un eccesso di fiducia può essere una trappola più pericolosa di una vigilanza continua.

Fonti ulteriori: Slashdot, PcPro, Punto Informatico, Apple Insider

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Koobface, virus su misura per Facebook

Koobface, virus su misura per Facebook

Virus sociali per reti sociali: Koobface

Circola già da agosto Koobface, un virus (più propriamente un worm) costruito specificamente per fare vittime fra gli utenti dei siti di social networking, come Facebook e Myspace, ma da pochi giorni è in giro una sua nuova variante che ha raggiunto una certa notorietà perché ne hanno parlato i media generalisti.

Koobface sfrutta l’ingegneria sociale (social engineering) per propagarsi. Arriva alla vittima sotto forma di un messaggio apparentemente proveniente da un amico di Facebook della vittima. Il messaggio è in inglese, e già questo dovrebbe mettere sul chi vive l’utente italofono: dice cose del tipo “sembri buffo in questo nuovo video” oppure “sei eccezionale in questo nuovo video”.

Se la vittima clicca sul link presente nel messaggio, viene portata a un sito che sembra essere Youtube e ha un nome che inizia per http://youtube, ma è in realtà un sito-trappola. Qui le viene proposto di vedere il video, ma la visualizzazione non funziona e viene proposto di installare un aggiornamento del player Flash. Se la vittima accetta, il suo computer viene infettato e a partire dal successivo riavvio tutti i dati delle sue navigazioni (siti visitati, cookie, login, password, numeri di carta di credito, messaggi personali) vengono trasmessi di nascosto ai padroni del virus.

Il virus colpisce esclusivamente gli utenti di Windows (tutte le versioni) ed è contrastabile con una sana vigilanza e con un antivirus aggiornato.

Ancora una volta, il grimaldello preferito dagli untori della Rete per scardinare le difese informatiche delle vittime è la psicologia: si crea una situazione emotivamente coinvolgente (in questo caso si fa leva su curiosità e/o imbarazzo) e si approfitta della fiducia che inevitabilmente tendiamo a porre nei messaggi che ci arrivano, almeno in apparenza, da persone che conosciamo.

Fonti: Kaspersky, Kaspersky (versione agostana), Symantec, Cnet, BBC.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Strani allegati PDF

Strani allegati PDF

Ondata di allegati PDF, spam o virus?

Da qualche giorno stanno circolando dei messaggi di e-mail contenenti allegati abbastanza insoliti in formato PDF. Arrivano dagli indirizzi più disparati, non contengono testo nel corpo del messaggio, e il nome dell’allegato a volte contiene il nome utente del destinatario. Il titolo del messaggio ha in genere a che fare con la finanza.

Aprendo i PDF, vi si trova dentro un consiglio d’investimento in azioni, seguito da una serie priva di senso di lettere e numeri che può insospettire.

A quanto risulta fin qui, però, non c’è pericolo virale: si tratta di un nuovo approccio allo spam. I filtri antispam stanno imparando a riconoscere o eliminare direttamente lo spam di testo e quello grafico (nel quale il messaggio è visualizzato come immagine), e così gli spammer stanno tentando un’altra tattica. Siccome gli utenti, e specialmente le aziende, hanno un notevole traffico di allegati in formato PDF (Acrobat), di norma i file PDF non sono inclusi nei file bloccati dai filtri antispam e vengono quindi recapitati senza problemi al destinatario.

Gli spammer stanno approfittando di questa situazione e stanno quindi generando messaggi che contengono un allegato PDF nel quale c’è il testo dello spam. Questo permette appunto di eludere i filtri.

In termini antivirali, i messaggi sembrano innocui: inviandoli al controllo online di Kaspersky non hanno rivelato codice ostile. Tuttavia rappresentano comunque una perdita di tempo (superiore a quella normalmente comportata dallo spam testuale, perché qui bisogna prendersi la briga di aprire l’allegato) e un carico per la Rete e per chi paga Internet a consumo.

Il consiglio è semplicemente evitare di aprire, e se possibile filtrare a monte, qualsiasi allegato che non provenga da mittenti noti e il cui messaggio non contenga chiari riferimenti al destinatario che lo distinguano da un invio di massa. L’importante è non farsi prendere dal panico e naturalmente non seguire i consigli d’investimento così disinteressati che arrivano dagli spammer, che fanno parte di una truffa pump-and-dump.

In questo tipo di raggiro, lo spammer acquista un titolo di pochissimo valore appena prima di inviare la propria campagna di spam. Questo fa lievitare artificialmente il valore del titolo, così gli investitori ingenui che abboccano allo spam vedono che in effetti il titolo è salito e vi investono, facendo lievitare ulteriormente il valore; poi il titolo viene venduto dai truffatori (a un valore molto superiore a quello al quale l’avevano acquistato) e viene lasciato a precipitare al suo valore reale. I truffatori si arricchiscono, gli investitori ingenui restano spennati. Prudenza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come infettare un computer con un... portafoto?

Come infettare un computer con un… portafoto?

Virus viaggia nei portafoto digitali

Questo articolo vi arriva grazie alle gentili donazioni di “stemaz” e “pisani****”.

Nuove frontiere dei virus informatici: adesso anche i portafoto digitali, quegli aggeggi così simpatici da regalare che mostrano le foto digitali in sequenza, possono trasportare virus. La notizia arriva dal San Francisco Chronicle ed è confermata dai produttori di antivirus, come McAfee, che lo identifica con il nome W32/Autorun.worm.e. La CA lo chiama Win32/Mocmex.AM, mentre TrendMicro lo designa WORM_AGENT.TBH.

Si tratta di un trojan horse, un cavallo di Troia, che raccoglie le password usate per i giochi via Internet. E’ in grado di riconoscere e bloccare molti degli antivirus più diffusi e di scavalcare la sicurezza e il firewall di Windows. Fatto questo, scarica da Internet dei file e li nasconde nel computer infetto, e si diffonde duplicandosi su qualsiasi dispositivo di memoria rimovibile (penne USB e, inevitabilmente, anche cornici digitali, appunto).

Secondo la Computer Associates è opera di un gruppo specifico di aggressori con sede in Cina, ed è stato avvistato nelle cornici digitali di varie marche, in compagnia di altri virus.

Proteggersi da queste antipatiche creature non è semplice, se usate Windows, il sistema operativo per il quale è progettato questo cavallo di Troia. Si può disabilitare l’Autorun, che è la funzione di Windows che esegue automaticamente i programmi che si trovano sui dispositivi che vengono collegati al computer (un altro colpo di genio dei progettisti Microsoft), ma non è detto che basti. Conviene controllare le cornici digitali usando un computer Apple o un PC con su Linux e un antivirus aggiornato: una raccomandazione valida per qualsiasi dispositivo di memoria.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un milione di virus

Un milione di virus

Virus, trojan e worm superano il milione di varianti in circolazione

Queste cifre apocalittiche vanno sempre prese con le pinze, soprattutto quando vengono comunicate da chi vende soluzioni antivirali, ma il dato è comunque interessante. Symantec ha pubblicato un rapporto sulla sicurezza della Rete, l’Internet Security Threat Report, nel quale il conteggio dei virus, worm e trojan horse circolanti supera per la prima volta il milione.

Il dato più significativo è che la stragrande maggioranza di questi malware (programmi ostili) è recente: quasi i due terzi sono stati creati negli ultimi dodici mesi. E il 2007 mostra una tendenza di crescita impressionante: la seconda metà dell’anno, infatti, ha visto un aumento del 136% nei nuovi malware rispetto ai primi sei mesi. Un’esplosione di creatività malvagia, insomma.

Va chiarito che questo milione e passa (per la precisione 1.122.311) di malware identificati da Symantec è costituito in gran parte da varianti di malware precedenti e che praticamente tutti sono costruiti su misura per le varie edizioni di Windows e relativi programmi.

Come mai questo boom? E’ cambiato il mercato, dice il rapporto: il mercato del crimine informatico. Oggi fare il criminale via Web è una professione, e come tale viene pagata: i creatori di virus sono esperti che non lavorano più per passione o per vandalismo, ma mettono i propri talenti a disposizione di chi paga. Di conseguenza, i loro committenti devono cercare vittime redditizie. Non basta infettare: bisogna materialmente rubare denaro alle vittime, e cercarne sempre di nuove.

Per questo genere di furti, continua il rapporto, si usano sempre più spesso trojan horse, cavalli di Troia che l’utente lancia volontariamente perché crede siano programmi utili o interessanti. Il trojan si installa di nascosto e fa da apripista per gli altri malware, che per esempio registrano le digitazioni di password e altri dati personali utilizzabili per furti d’identità o truffe online.

La strategia difensiva tradizionale è usare un antivirus costantemente aggiornato, ma con questi ritmi di produzione di nuovi malware, l’aggiornamento deve essere ossessivamente frequente e la verifica di un file richiede sempre più tempo e potenza di calcolo. Non è un caso che certi antivirus tendono a rallentare vistosamente il computer.

Una strategia alternativa è centralizzare le proprie difese antivirali, per esempio usando un computer dedicato, magari uno vecchiotto in disuso, che faccia unicamente da filtro per i computer di casa: l’antivirus gira sul computer dedicato e non grava sui PC degli utenti. In tal caso, però, bisogna stare attenti a non essere promiscui, o adottare adeguate protezioni se si collega il computer ad altre reti o se si scambiano dati scavalcando il computer-sorvegliante (per esempio tramite una penna USB o un CD-ROM).

Un’altra alternativa è usare sistemi operativi diversi da Windows XP e Vista e software diversi dai soliti Word, Excel e compagnia bella, che sono i principali bersagli di questi attacchi. E, come sempre, usare prudenza: mai accettare caramelle dagli sconosciuti (senza averle prima sterilizzate, perlomeno!).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Virus per Mac, attenti ma niente panico

Virus per Mac, attenti ma niente panico

Mele morsicate e cavalli di Troia

Non capita spesso, ma ogni tanto capita. Anche i Mac possono essere oggetto di virus. Ne parla SecureMac, segnalando uno dei rari cavalli di Troia scritti per Mac OS X. Si chiama AppleScript-THT e sfrutta una falla nel Desktop Remoto per caricarsi con privilegi di root.

Ha effetto sulle versioni più recenti di Mac OS X (10.4 e 10.5) e consente agli aggressori di registrare tutto quello che viene digitato sui Mac infetti, di scattare immagini tramite la telecamera integrata, di catturare schermate, di farsi mandare le password degli utenti e di attivare la condivisione dei file. Apre alcune porte nel firewall di Mac OS X e disattiva i log di sistema nel tentativo di non farsi trovare.

Anche se questo cavallo di Troia sfrutta una vulnerabilità del sistema operativo Apple, per infettarsi è comunque necessario scaricare ed aprire il file virale. Maggiori dettagli tecnici sono forniti presso Securemac, che vende un antivirus per Mac.

Come sempre, vale anche per il mondo Mac la normale prudenza (che spesso gli utenti Mac troppo fiduciosi buttano al vento): non aprite file di provenienza dubbia, chiunque ve li abbia mandati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Homer Simpson come trappola virale

Homer Simpson come trappola virale

Siete fan dei Simpson? Occhio ai messaggi che arrivano da Homer

La fantasia e la creatività degli aggressori informatici non conosce limiti. Arriva da Spywareguide.com la segnalazione che sta circolando un virus, denominato Kimya, che si spaccia per una puntata inedita dei Simpsons e arriva dall’indirizzo di e-mail usato da Homer Simpson in una puntata di qualche tempo fa: chunkylover53@aol.com.

L’indirizzo esisteva realmente ed era stato attivato dall’autore e produttore dei Simpsons Matt Selman; chi lo contattava riceveva una risposta personale da Selman, con grande gioia dei fan; ma l’esperimento, realizzato nel 2003, è stato sommerso da migliaia di mail, per cui Selman ha dovuto rinunciare a rispondere a tutti (info tratta da una guida molto interessante, al limite dell’ossessivo, ai riferimenti a Internet nei Simpson, disponibile qui). Nel frattempo, però, molti utenti del sistema di messaggistica AIM (AOL Instant Messenger) di Aol.com, molto popolare negli Stati Uniti, avevano incluso l’indirizzo fra i propri contatti.

L’indirizzo chunkylover53@aol.com è rimasto dormiente per un bel po’, fino a quando è ricomparso pochi giorni fa fra gli utenti attivi nella messaggistica di AOL. Compariva un messaggio che comunicava l’assenza dell’utente ma includeva anche un invito a scaricare da un apposito link una “nuova puntata esclusiva dei Simpson, disponibile solo su Internet, che viene rilaciata soltanto ai fan su Internet”.

Il link porta a un file di circa 150 kilobyte, di nome kimya.exe, che non è affatto una puntata inedita ma un virus che dopo una serie di messaggi d’errore svuota lo schermo, rendendo necessario un riavvio (il virus agisce soltanto su Windows). Il computer infettato entra a far parte di una botnet turca e resta in attesa di ordini dal suo nuovo proprietario virale.

La morale è sempre la stessa: non cliccate mai sui link che vi arrivano da sconosciuti via mail o nei messaggi istantanei, specialmente se promettono qualcosa di allettante, munitevi di un antivirus e tenetelo aggiornato. Ma non delegate tutto all’antivirus: la prima linea di difesa del vostro computer siete voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Ransomware!

Il virus che ti ricatta

Decisamente cattivello questo Gpcode, un virus che non si limita (per così dire) a fare danni al computer, ma lucchetta i vostri dati (documenti, foto, e altro) con una cifratura sofisticatissima con chiave a 1024 bit: se volete riaverli, dovete pagare i gestori del virus, come racconta Kaspersky.

La lunghezza della chiave significa che la decifrazione per forza bruta è sostanzialmente impossibile, per cui l’unica maniera per riavere i propri dati sembra essere quella di pagare il riscatto.

Il virus si fa riconoscere perché aggiunge l’estensione “._CRYPT” in fondo all’estensione preesistente dei file che ha lucchettato e poi colloca nella medesima cartella/directory un file “!_READ_ME_!.txt” che spiega come procedere per far avere il riscatto.

Chiaramente, in casi come questi la prevenzione è la miglior cura: tutti i principali antivirus riconoscono Gpcode nelle sue tante varianti, e vale sempre la raccomandazione di non eseguire software di provenienza non sicura, come il software piratato o gli allegati, anche se arrivano tramite amici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.