Virus vi cripta il disco e vi chiede 300$ per ripristinarlo

ormai le licenze me le hanno date, in ogni caso questo post sul blog di PrevX è abbastanza interessante da poter essere linkato anche senza avere nulla in cambio :-).

E' stato rilevato un nuovo virus: "NTOS.EXE" classificato come generico Win32.PSWSteal.Gen. Il simpatico applicativo una volta attivato vi cripta l'Hard Disk usando l'algoritmo di cifratura RSA, questo è il messaggio che vi segnala l'avvenuta cifratura dell'HD:

"Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: tristanniglam@gmail.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data — Glamorous team."

Soluzioni:

  • vi fidate e gli pagate la licenza di 300$;
  • avete un backup da ripristinare e sperate che non siano stati inviati dati sensibili;
  • risolvete uno dei problemi più complicati della matematica, cioè create un algoritmo di fattorizzazione che possa venire eseguito in tempi accettabili da un computer.

La parte interessante della notizia (per cui vi rimando allarticolo originale sul blog di PrevX) è vedere le aziende che hanno questo file nel loro sistema , e che forse, non sanno nemmeno di averlo, visto che non tutti gli antivirus lo rilevano come codice maligno :-P.

Ricordo che ho ancora una licenza di PrevX da poter regalare, e qualche altra la dovrebbe avere Sbronzo di Riace.

Fonte: PrevX

AGGIORNAMENTO: grazie a The King of GnG di Megalab.it, ecco cosa viene detto sul blog di Kaspersky riguardo al virus sopracitato:

Viruslist.com – Analyst's Diary

Of course, we've analyzed the files, and in spite of the text above, there's no sign of RSA-4096. Interestingly, this nasty little piece of work, which we detect as Virus.Win32.Gpcode.ai, has a very limited shelf life, from 10th to 15th July 2007. Why? We can only guess.

Quindi sembrerebbe una mezza bufala visto che dalle analisi di Kasperky non risulta nessuna traccia dell'uso dell'algoritmo RSA per la cifratura dei dati, e si sta già lavorando ad un tool di decriptazione.

4 Responses to “Virus vi cripta il disco e vi chiede 300$ per ripristinarlo”


Leave a Reply