17 luglio 2008  0

Una nuova versione per Gpcode, il virus che cifra i documenti

Tecnologia / Sicurezza 

cyberlover-dati-malware-sensibili-virus-web Se ne era parlato già un qualche anno fa, nel 2004 e poi anche negli anni successivi per altrettante varianti, quando comparve la prima versione di questo malware che presentava la caratteristica di cifrare alcune tipologie di documenti con un algoritmo RSAW con chiave a 660 bit.

Ai tempi, grazie ad un errore di implementazione contenuto nel codice di cifraggio, fu relativamente semplice per le principali società di sicurezza informatica, creare un'applicazione che consentisse il ripristino dei file danneggiati e apparentemente non recuperabili, se non cedendo al ricatto dell'astuto creatore del virus.

Sfortunatamente, il 4 giugno 2008 ne è stata scoperta una nuova variante che è stata classificata dai Kaspersky Lab come Win32.Gpcode.ak. La nuova versione è decisamente più sofisticata e, questa volta, utilizza una chiave di cifratura RSA a 1024 bit, che sembra virtualmente inattaccabile, anche in virtù del fatto che al momento non sono stati rilevati errori di implementazione nell'algoritmo utilizzato.

Analizziamo in dettaglio cosa fa il rasomware Win32.Gpcode.ak una volta penetrato in un sistema:

  1. Effettua una scansione di tutte le memorie di massa sulle quali è possibile effettuare scrittura (hard disk interni o esterni, pen drive, memorie flash) individuando oltre 140 tipologie di file diversi (tra cui .Doc, .Xls, .Jpg, .Png, .Txt e .Pdf).
  2. Una volta individuati i file da colpire, effettua l'operazione di crittografia degli stessi utilizzando il Microsoft Enhanced Cryptographic Provider (ovvero il provider di cifratura dei sistemi Windows). L'operazione viene effettuata utilizzando due chiavi crittografiche, una pubblica ed una privata. La chiave pubblica è contenuta all'interno del virus stesso e viene utilizzata per criptare il file. Quella privata viene utilizzata per decriptare il file e viene fornita solo dietro pagamento dell'autore del malware.
  3. Il file originario viene cancellato, mentre al file cifrato viene attribuito il suo nome, completo di estensione, seguito dal suffisso _CRYPT.
  4. All'interno di ogni cartella contenente i file colpiti, viene inoltre creato un file chiamato !_READ_ME_!.txt conentente un messaggio di testo che notifica il "reato" commesso ed invita a contattare l'autore del misfatto per ricevere, ovviamente dietro lauto compenso, la chiave per decifrare i documenti colpiti.
  5. Non vengono aggrediti (bontà sua) solo i file di sistema, quelli aventi l'attributo hidden (ovvero nascosto) o quelli di dimensione inferiore a 10 byte o maggiori di 734003200 byte.
  6. Il virus, dopo aver eseguito le operazioni di cifratura, si autodistrugge, eliminando ogni traccia nel registro di sistema e, contemporaneamente, mostra un messagio a video che informa delle operazioni effettuate, invitando nuovamente a contattare il solito autore per il ripristino dei dati compromessi.

Riassumendo, il tutto corrisponde ad un ricatto in piena regola.

Facendo una serie di ricerche on line, ho potuto verificare, però, che sembra siano state messe a punto un paio di soluzioni (purtroppo non esaustive) per il ripristino dei file danneggiati anche dall'ultima versione del Gpcode.

  • La prima riguarda la possibilità di potere recuperare i file cancellati dal malware prima che possano essere sovrascritti da successive operazioni. In questo caso è fondamentale agire con estrema tempestività: la prima cosa da fare è assolutamente non riavviare il PC ed effettuare tutte le operazioni descritte in questo post prima su un PC sicuramente non infetto e, successivamente, sulla macchina oggetto dell'attacco.
  • La seconda, invece, presenta la possibilità di poter decifrare nuovamente i file avendo a disposizione almeno un certo quantitativo di copie originali dei file cifrati (recuperate ad esempio da un precedente backup). L'operazione viene effettuata utilizzando un tool messo a punto dai Kaspersky Lab e chiamato StopGpcode2. L'esito del recupero non è garantito per la totalità dei file, ma per una percentuale mediamente prossima allo 80% degli stessi (che è comunque un buon risultato). Tutta la procedura da seguire è spiegata dettagliatamente in quest'altro post (sempre appartenentente al medesimo thread del precedente).

L'unica nota positiva di questo malware (se tale può essere considerata) è che non è virulento: infatti una volta in esecuzione, al termine delle operazioni di cifratura, come già detto, si autodistrugge impedendo di fatto una probabile infezione su altri dispositivi connessi successivamente al computer colpito. Una magra consolazione.

Fonti e riferimenti in rete:

Esprimi il tuo giudizio

Pingbacks and trackbacks (1)+

Aggiungi Commento

biucitecode
  • Commento
  • Anteprima
Loading


| |   |  

Codice QR

Codice QR - cristianofino.net

Ultimi Commenti