mercoledì 26 giugno 2013

Un'altra ondata di Trojan - Encoder


Doctor Web — azienda produttrice di programmi per la sicurezza informatica — segnala un aumento di incidenti causati dai trojan studiati per criptare file memorizzati sui computer. Il programma più diffuso è Trojan.Encoder.94. Anche Trojan.Encoder.225 è molto attivo: recentemente il laboratorio antivirale di Doctor Web ha ricevuto richieste di assistenza da oltre 160 utenti che sono diventati vittime delle attività malevole di questo trojan.


I trojan della famiglia Trojan.Encoder criptano file memorizzati sul disco fisso del computer compromesso dopo di che i malintenzionati domandano all'utente di pagare una somma per la possibilità di recuperare i dati. A seconda della versione, i Trojan.Encoder registrano sul disco file di testo con le istruzioni su come procedere con il riscatto o cambiano lo sfondo del desktop con un'immagine contenente tale messaggio. La somma chiesta dai malintenzionati varia da decine a migliaia di dollari.

I trojan – encoder si propagano soprattutto in email inviate in grandi quantità. Per esempio, Trojan.Encoder.225 può essere inserito nel sistema operativo tramite un'email con allegati del formato RTF (ma l'estensione visualizzata è .doc) che sfruttano una vulnerabilità di Microsoft Office. Tramite questo exploit, sul computer vittima viene installato un trojan – downloader che a suo turno scarica Trojan.Encoder dal server di controllo dei malintenzionati. La variante Trojan.Encoder.94 spesso viene scaricata mediante il programma BackDoor.Poison incluso nelle email malevole che imitano informative o notifiche, per esempio, possono contenere gli allegati Come riscuotere gli arretrati.doc e Sentenza della Corte di arbitrato.exe.





A giungo 2013, abbiamo notato un aumento del numero di trojan – encoder, così Trojan.Encoder.225, una versione comparsa di recente ha infettato i pc di oltre 160 utenti in Russia e Ucraina rivolti a Doctor Web. Questo programma è scritto nel linguaggio Delphi e possiede tre versioni. Nella versione precedente, i malintenzionati utilizzavano l'indirizzo di email milenium56m1@yahoo.com, mentre nella versione più recente l'indirizzo è marikol8965@yahoo.com. I file elaborati dalle prime versioni di Trojan.Encoder.225 possono essere decifrati tramite i nostri metodi. Attualmente, stiamo cercando un modo per poter decifrare anche i file elaborati dalla versione nuova dell'encoder.

Il trojan – encoder più diffuso Trojan.Encoder.94 ha oltre 350 versioni, che è un record. È possibile decifrare file elaborati dalla maggior parte delle versioni di Trojan.Encoder.94. Nel mese passato, questo trojan ha infettato i pc di oltre 680 utenti.

In totale, negli ultimi tre mesi, al laboratorio antivirale di Doctor Web sono arrivate circa 2.800 richieste di assistenza per il recupero dei file resi inaccessibili dagli encoder. Siccome i malintenzionati utilizzano sempre più complessi metodi di crittografia, i nostri specialisti devono risolvere problemi di matematica sempre più difficili in un numero sempre maggiore. A causa del grande numero di richieste di assistenza e dell'elevato carico sul personale del laboratorio, dal 19 giugno 2013 abbiamo cominciato a fornire l'assistenza per il recupero di file cifrati solo agli utenti registrati dei prodotti Dr.Web.

Se i Vostri file sono inaccessibili a seguito delle azioni di un encoder, Vi consigliamo di non trasferire la somma richiesta dai criminali informatici e di non cercare di recuperare i dati da soli (non tentate di reinstallare il sistema operativo o di rimuovere alcuni file dal computer) perché in tale caso correte il rischio di perdere i dati in modo irrimediabile. Una valida misura preventiva è fare copie di backup di tutti i dati a scadenze regolari. Se siete utenti registrati dei prodotti Dr.Web, inviate alcuni file cifrati al laboratorio antivirale di Doctor Web tramite questo modulo speciale dopo aver selezionato il tipo appropriato di richiesta, cioè "Richiesta di cura". Attendete una risposta del nostro personale e seguite rigorosamente le istruzioni fornite dallo specialista.

Nessun commento:

Posta un commento