Cavalli di troia del genere “encoder” si propagano in Russia e nella CSI

22 aprile 2013

Le informazioni statistiche delle minacce moderne dimostrano che i Trojan.Encoder sono tra i programmi malevoli più diffusi. Doctor Web — sviluppatore russo di software antivirus — avvisa gli utenti che attualmente si propagano due nuove versioni di questi programmi: Trojan.Encoder.205 e Trojan.Encoder.215. Gli encoder sono malware molto pericolosi perché utilizzandoli i malintenzionati possono cifrare file dell’utente e poi chiedere una cospicua somma per il ripristino dei file. Il team di Doctor Web ha proposto alcune raccomandazioni che possono aiutare gli utenti a liberarsi da questi cavalli di troia e a recuperare file tenuti in ostaggio.

Negli anni recenti, i trojan - encoder, o ransomware, sono diventati molto diffusi. Una delle cause di diffusione, è che questi programmi permettono ai pirati informatici di guadagnare con facilità. Lo stesso metodo di guadagno è stato utilizzato in precedenza con l’impiego del malware Trojan.Winlock. I cavalli di troia della famiglia Trojan.Encoder cercano sui dischi del computer infetto file dell’utente, in particolare, documenti Microsoft Office, brani musicali, foto, immagini e archivi, dopo di che li criptano e li rendono inaccessibili all’utente. Fatto questo, gli encoder visualizzano una richiesta di riscatto dei file che può raggiungere diverse migliaia di dollari.

Il cavallo di troia Trojan.Encoder.205 e la sua variante più recente — Trojan.Encoder.215 — si propagavano su larga scala alla fine di marzo e all’inizio di aprile 2013. Di solito, l’infezione è trasportata in email inviate in grande quantità e contenenti l’exploit per una vulnerabilità (CVE-2012-0158). Utilizzando quest’exploit, il trojan - downloader penetra sul computer bersaglio e poi scarica e installa l’encoder. Secondo i dati del 19 aprile 2013, il servizio di supporto tecnico di Doctor Web ha ricevuto 105 richieste di assistenza riguardanti il cavallo di troia Trojan.Encoder.205 e altre 74 richieste che riferiscono problemi causati dalla versione Trojan.Encoder.215. Attualmente il servizio di supporto tecnico riceve ulteriori richieste.

Una volta cifrati i file dell’utente, l’encoder mette sullo schermo del computer infetto un messaggio di riscatto. Ne riportiamo una parte: “Se sta leggendo questo messaggio, vuol dire che il Suo computer è stato attaccato da un virus informatico molto potente. Tutte le Sue informazioni (documenti, database, copie di backup e altri file) sul computer sono stati criptati tramite un algoritmo più sicuro nel mondo RSA1024”. Oppure: “Tutte le informazioni importanti che si trovano su questo computer (documenti, immagini, database, email ecc.) sono state criptate tramite un algoritmo unico di criptografia. Ci vuole circa un anno per decifrare un file utilizzando il computer più potente se non si ha un software speciale”. Alla vittima viene proposto di mandare un’email a uno degli indirizzi muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com o decrypfiles@yahoo.com.

Recentemente, abbiamo scoperto anche una versione di questo malware ancora più nuova. Il suo testo dell’ estorsione è diverso e si specifica un altro indirizzo di email. Il 19 aprile il servizio di supporto tecnico di Doctor Web ha ricevuto 58 richieste di assistenza dagli utenti i cui computer sono stati attaccati da questa minaccia.

Sebbene i malintenzionati dicano che queste versioni degli encoder utilizzino un metodo complesso di cifratura, in realtà l’algoritmo è abbastanza semplice (algoritmo di crittografia corrente). A causa di difetti del programma, qualche volta i malintenzionati stessi non sono capaci di decifrare i file. Tuttavia, è possibile decifrare tali file e lo possono fare gli esperti di Doctor Web. Se le Vostre informazioni sono state rese inaccessibili da questi trojan, Vi consigliamo di fare il seguente: