Arriva il malware blocca-PC

Redazione · 25-11-2011, 14.44.14

Dopo aver esaminato nel dettaglio un tipico caso di phishing tramite email, continuiamo nella nostra analisi delle anomalie e dei pericoli che possiamo incontrare durante l'uso del PC e di Internet. Tra le numerose segnalazioni che ci sono pervenute abbiamo preso in esame il trojan MBRLock che si sta diffondendo a macchia d'olio tramite la Rete e ne abbiamo osservato il comportamento su un PC infetto.

Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d'uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.

Ecco il testo del messaggio:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"

A questo punto il messaggio invita a digitare il codice richiesto.

Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l'accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la "carissima" telefonata.

Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient'altro. Tuttavia, l'unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più "duro a morire"!

Ma come possiamo eliminare il trojan? Se il nostro PC cade vittima di un'infezione da ransomware, le procedure da seguire sono molto diverse tra di loro, come pure sono tanti i sintomi per rilevare la presenza di questo tipo di trojan. Potrebbe ad esempio comparire un messaggio di richiesta riscatto sul desktop, oppure in un file di testo o in ogni cartella del disco fisso contenenti i dati che sono stati crittografati.

In tutti i casi l'unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni da ransomware potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare.

Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web. Per creare il CD, avviamo Nero Burning Rom e masterizziamo l'immagine kav_rescue_10.iso su un CD vergine cliccando Masterizzatore/Scrivi immagine.

In caso di infezione da virus, inseriamo il Rescue Disk nel sistema da controllare e riavviamo il PC dal CD (accediamo al BIOS premendo Canc, da Boot/Boot Driver Order selezioniamo DVD-ROM e confermiamo con F10). Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d'uso, premiamo A per accettarla e accedere all'interfaccia principale del programma. Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell'hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo.

Una volta deciso su quali oggetti effettuare il controllo, clicchiamo sulla voce in alto Avvio Scansione Personalizzata. A seconda delle opzioni selezionate al passo precedente, questo controllo potrebbe durare anche diversi minuti. Attendiamo che venga completato. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.

allmaster · 25-11-2011, 15.16.39

non è mica una novità.....

Format · 25-11-2011, 15.58.51

Quota:

Inviato da allmaster

non è mica una novità.....

non sarà una novità ma per noi lettori si tratta comunque di una guida utile per mettere in allerta l'utente ignaro ed eventualemte fornire la soluzione per "uscire dalla trappola". Grazie WT

sincerely732000 · 25-11-2011, 17.32.20

Consiglio a tutti i lettori di impostare da bios (se lo consente ) la protezione del MBR.

rondix · 26-11-2011, 10.11.38

E naturalmente chi ha acquistato una licenza per Kaspersky con tanto di scatola e CdRom d'installazione, basta inserire il cd e dal boot e fare la stessa cosa ....... Chi backuppa il proprio Pc con programmi specifici tipo Esaeus Todo Backup, Acronis True Image, Norton Ghost etc ..... salta il problema in pochi minuti .... (Non e' una novita' ma e' meglio dirlo comunque

)

AMIGA · 26-11-2011, 21.16.54

Quota:

Inviato da rondix

....... Chi backuppa il proprio Pc con programmi specifici tipo Esaeus Todo Backup, Acronis True Image, Norton Ghost etc ..... salta il problema in pochi minuti .... (Non e' una novita' ma e' meglio dirlo comunque

)

E i dati li sovrascriviamo ? anche se si ha un'immagine completa del disco rigido, ci sono sempre dati sensibili, che non sono stati ancora backuppati.

borgata · 26-11-2011, 23.02.02

Avere una sola copia di tutti i dati è una specie di suicidio informatico!
Spero che la gente impari piuttosto a prendersi cura dei propri dati, ho visto troppo gente venire a "piangere" perchè l'unica copia delle loro foto è andata perduta per un disco rotto o un maleware...

AMIGA · 27-11-2011, 01.09.03

E con i dischi che diventano sempre più grandi, diventa sempre più difficile backuppare tutto, una sola copia dei dati importanti è troppo poco, CD,DVD,Hardisk, hanno una vita troppo corta, specialmente se tenuti male o molto utilizzati.Capita spesso che quando rimetto a posto dei PC, molti si meravigliano di ritrovare cose credute perse, solitamente inabbiassate fra utenti non più utilizzati, sottocartelle di sottocartelle di sottocartelle, insomma una jungla di file e directory con nomi geroglifici, che in talunni casi abbandonati perchè a loro non più accessibili.

borgata · 27-11-2011, 11.37.26

I dischi sempre più grandi trovo invece che rendano facile la duplicazione dei dati.
Uno acquista un disco da un paio di TB e può fare la copia di tutto ciò che è importante nel pc, che spesso è una frazione del contenuto dei dischi, se si parla di dati davvero importanti, quelli che non è possibile recuperare altrimenti, quindi includiamo per esempio foto e documenti, ma escludiamo film scaricati e buona parte degli album musicali, che possiamo sempre recuperare in un secondo tempo.

Certo, con l'aumento del prezzo dei dischi da storage in questo periodo la situazione si fa più difficile, ma pensare che fino a qualche settimana fa con 60 euro portavi a casa un disco da 2TB, ampiamente sufficiente per i backup della maggior parte degli utenti, fa pensare su come invece nella maggior parte dei casi la gente metta davvero a rischio i propri dati.

25-11-2011, 14.44.14	#1
Redazione WebMaster Registrato: 18-09-2008 Messaggi: 5.899	Arriva il malware blocca-PC Dopo aver esaminato nel dettaglio un tipico caso di phishing tramite email, continuiamo nella nostra analisi delle anomalie e dei pericoli che possiamo incontrare durante l'uso del PC e di Internet. Tra le numerose segnalazioni che ci sono pervenute abbiamo preso in esame il trojan MBRLock che si sta diffondendo a macchia d'olio tramite la Rete e ne abbiamo osservato il comportamento su un PC infetto. Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d'uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899. Ecco il testo del messaggio: "Attention! Windows activation period is exceeded. This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code. This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 * . Registration code must be entered not later then three days, if it entered later the unlocking is not possible" A questo punto il messaggio invita a digitare il codice richiesto. Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l'accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la "carissima" telefonata. Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient'altro. Tuttavia, l'unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più "duro a morire"! Ma come possiamo eliminare il trojan?* Se il nostro PC cade vittima di un'infezione da ransomware, le procedure da seguire sono molto diverse tra di loro, come pure sono tanti i sintomi per rilevare la presenza di questo tipo di trojan. Potrebbe ad esempio comparire un messaggio di richiesta riscatto sul desktop, oppure in un file di testo o in ogni cartella del disco fisso contenenti i dati che sono stati crittografati. In tutti i casi l'unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni da ransomware potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare. Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web. Per creare il CD, avviamo Nero Burning Rom e masterizziamo l'immagine kav_rescue_10.iso su un CD vergine cliccando Masterizzatore/Scrivi immagine. In caso di infezione da virus, inseriamo il Rescue Disk nel sistema da controllare e riavviamo il PC dal CD (accediamo al BIOS premendo Canc, da Boot/Boot Driver Order selezioniamo DVD-ROM e confermiamo con F10). Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d'uso, premiamo A per accettarla e accedere all'interfaccia principale del programma. Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell'hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo. Una volta deciso su quali oggetti effettuare il controllo, clicchiamo sulla voce in alto Avvio Scansione Personalizzata. A seconda delle opzioni selezionate al passo precedente, questo controllo potrebbe durare anche diversi minuti. Attendiamo che venga completato. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.

25-11-2011, 15.16.39	#2
allmaster Senior Member Registrato: 28-06-2005 Messaggi: 288	non è mica una novità..... ___________________________________ Così tra questa immensità s'annega il pensier mio e il navigar m'è dolce in questo mare.

26-11-2011, 23.02.02	#7
borgata Gold Member WT Expert Registrato: 23-06-2004 Loc.: Cagliari Messaggi: 13.333	Avere una sola copia di tutti i dati è una specie di suicidio informatico! Spero che la gente impari piuttosto a prendersi cura dei propri dati, ho visto troppo gente venire a "piangere" perchè l'unica copia delle loro foto è andata perduta per un disco rotto o un maleware... ___________________________________ La risposta è dentro di te... e però, è sbagliata!

27-11-2011, 01.09.03	#8
AMIGA Gold Member Top Poster Registrato: 06-07-2006 Loc.: Brindisi Messaggi: 10.111	E con i dischi che diventano sempre più grandi, diventa sempre più difficile backuppare tutto, una sola copia dei dati importanti è troppo poco, CD,DVD,Hardisk, hanno una vita troppo corta, specialmente se tenuti male o molto utilizzati.Capita spesso che quando rimetto a posto dei PC, molti si meravigliano di ritrovare cose credute perse, solitamente inabbiassate fra utenti non più utilizzati, sottocartelle di sottocartelle di sottocartelle, insomma una jungla di file e directory con nomi geroglifici, che in talunni casi abbandonati perchè a loro non più accessibili. ___________________________________ Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

27-11-2011, 11.37.26	#9
borgata Gold Member WT Expert Registrato: 23-06-2004 Loc.: Cagliari Messaggi: 13.333	I dischi sempre più grandi trovo invece che rendano facile la duplicazione dei dati. Uno acquista un disco da un paio di TB e può fare la copia di tutto ciò che è importante nel pc, che spesso è una frazione del contenuto dei dischi, se si parla di dati davvero importanti, quelli che non è possibile recuperare altrimenti, quindi includiamo per esempio foto e documenti, ma escludiamo film scaricati e buona parte degli album musicali, che possiamo sempre recuperare in un secondo tempo. Certo, con l'aumento del prezzo dei dischi da storage in questo periodo la situazione si fa più difficile, ma pensare che fino a qualche settimana fa con 60 euro portavi a casa un disco da 2TB, ampiamente sufficiente per i backup della maggior parte degli utenti, fa pensare su come invece nella maggior parte dei casi la gente metta davvero a rischio i propri dati. ___________________________________ La risposta è dentro di te... e però, è sbagliata!

25-11-2011, 17.32.20	#4
sincerely732000 Junior Member Registrato: 15-12-2006 Messaggi: 81	Consiglio a tutti i lettori di impostare da bios (se lo consente ) la protezione del MBR.

26-11-2011, 10.11.38	#5
rondix Hero Member Registrato: 20-03-2005 Loc.: Corsico Messaggi: 1.321	E naturalmente chi ha acquistato una licenza per Kaspersky con tanto di scatola e CdRom d'installazione, basta inserire il cd e dal boot e fare la stessa cosa ....... Chi backuppa il proprio Pc con programmi specifici tipo Esaeus Todo Backup, Acronis True Image, Norton Ghost etc ..... salta il problema in pochi minuti .... (Non e' una novita' ma e' meglio dirlo comunque )

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)