Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Arriva il malware blocca-PC
#1
[Immagine: http://www.wintricks.it/wtstaff/img_news...saggio.jpg]

Dopo aver esaminato nel dettaglio un tipico caso di phishing tramite email, continuiamo nella nostra analisi delle anomalie e dei pericoli che possiamo incontrare durante l’uso del PC e di Internet. Tra le numerose segnalazioni che ci sono pervenute abbiamo preso in esame il trojan MBRLock che si sta diffondendo a macchia d’olio tramite la Rete e ne abbiamo osservato il comportamento su un PC infetto.

Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d’uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.

Ecco il testo del messaggio:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"


A questo punto il messaggio invita a digitare il codice richiesto.

Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l’accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la “carissima” telefonata.

Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient’altro. Tuttavia, l’unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più “duro a morire“!

Ma come possiamo eliminare il trojan? Se il nostro PC cade vittima di un’infezione da ransomware, le procedure da seguire sono molto diverse tra di loro, come pure sono tanti i sintomi per rilevare la presenza di questo tipo di trojan. Potrebbe ad esempio comparire un messaggio di richiesta riscatto sul desktop, oppure in un file di testo o in ogni cartella del disco fisso contenenti i dati che sono stati crittografati.

[Immagine: http://www.wintricks.it/wtstaff/img_news...one-01.jpg]

In tutti i casi l’unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni da ransomware potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare.

Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web. Per creare il CD, avviamo Nero Burning Rom e masterizziamo l’immagine kav_rescue_10.iso su un CD vergine cliccando Masterizzatore/Scrivi immagine.

[Immagine: http://www.wintricks.it/wtstaff/img_news...one-02.jpg]

In caso di infezione da virus, inseriamo il Rescue Disk nel sistema da controllare e riavviamo il PC dal CD (accediamo al BIOS premendo Canc, da Boot/Boot Driver Order selezioniamo DVD-ROM e confermiamo con F10). Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d’uso, premiamo A per accettarla e accedere all’interfaccia principale del programma. Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell’hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo.

[Immagine: http://www.wintricks.it/wtstaff/img_news...one-03.jpg]

Una volta deciso su quali oggetti effettuare il controllo, clicchiamo sulla voce in alto Avvio Scansione Personalizzata. A seconda delle opzioni selezionate al passo precedente, questo controllo potrebbe durare anche diversi minuti. Attendiamo che venga completato. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.

[Immagine: http://www.wintricks.it/wtstaff/img_news...one-04.jpg]

Fonte: Wintricks
Cita messaggio
#2
Concordo pienamente, ma vorrei anche aggiungere che:
1) i dati eventualmente da recuperare (se si è stati "monelli" e non si sono effettuati a tempo i necessari backups) si posson riacciuffar comunque andando "in LiveCD";
2) un modo alternativo di sgamarsela nella faccenda consiste nell'usare i floppy-disk (basta acquistare un lettore-floppy USB... che costa pochi euro). Perché c'è una "distro" GNU/Linux che si può tranquillamente installare sull'Hard Disk (e avviarla ogniqualvolta lo si desidera) ponendo il suo GRUB direttamente dentro a un floppy-disk (senza minimamente passare per l'MBR, insomma). Quando si andrà ad avviare, l'avvio avverrà dal floppy-disk e si infischierà completamente dell'MBR.
Avremo, a quel punto un bel Sistema GNU/Linux pronto ad eseguire (alla brutta faccia del malware!) tutti i nostri ordini (salvar cartelle e file, effettuare scansioni antivirus, anti-rootkits, etc... andare in Internet a cercar consigli e risorse addizionali, etc...)
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#3
(27-11-2011, 02:37 )monsee Ha scritto: Concordo pienamente, ma vorrei anche aggiungere che:
1) i dati eventualmente da recuperare (se si è stati "monelli" e non si sono effettuati a tempo i necessari backups) si posson riacciuffar comunque andando "in LiveCD";
2) un modo alternativo di sgamarsela nella faccenda consiste nell'usare i floppy-disk (basta acquistare un lettore-floppy USB... che costa pochi euro). Perché c'è una "distro" GNU/Linux che si può tranquillamente installare sull'Hard Disk (e avviarla ogniqualvolta lo si desidera) ponendo il suo GRUB direttamente dentro a un floppy-disk (senza minimamente passare per l'MBR, insomma). Quando si andrà ad avviare, l'avvio avverrà dal floppy-disk e si infischierà completamente dell'MBR.
Avremo, a quel punto un bel Sistema GNU/Linux pronto ad eseguire (alla brutta faccia del malware!) tutti i nostri ordini (salvar cartelle e file, effettuare scansioni antivirus, anti-rootkits, etc... andare in Internet a cercar consigli e risorse addizionali, etc...)
Quale è la distro di cui parli.. fammi sapere che la installo immediatamente che non si sà mai... GRAZIE

Roberto Bologna
GUIDA CUCINA
Cita messaggio
#4
PCLinuxOS (ne esiston tante varianti... e si può sceglier quella che si vuole; la più indicata per chi non conosce GNU/Linux e viene da Windows è, a mio parere, la versione PCLinuxOS 2011 ZEN-mini Edition; una cosa importante: per chi è abituato a usare UBUNTU è da chiarire bene che laddove UBUNTU necessita spesso e volentieri di far ricorso al terminale, PCLinuxOS richiede [esattamente come accade in Windows o in Mac] di affrontare le cose in maniera grafica, ossia "cliccando nelle varie finestre"... questo perché, se si comincia a trattar PCLinuxOS come se fosse UBUNTU si rischia di incasinarsi). Dovresti poter trovare la "distro" che ti ho indicato (assieme a svariate altre), ben presto, proprio sul Sito del Majorana. [Immagine: http://izaak.jellinek.com/tuxes/images/2730-30007.png]
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#5
Non farti sentire a dire una bestemmia del genere nel forum di pclinux , un buom uso della console è decisamente prezioso anche con PclinuxOS , dove puoi arrivare da comandi diretti dalla pagina grafica nopn potrai mai arrivare con nessun SO . PCLinuOS alla stregua di Mandriva hanno sempre avuto il buon gusto di rendere attivo installato da subito MidnightCommander , risorsa da sempre preziosa per un unutilizzo della console a portata di somaro patentato e completo di supporto del mouse
Synaptic per apt4rpm fa acqua da tutte le parti , ampiamente preferibi i comandi diretti apt in console.
In maniera grafica i problemi al computer li affronta chi non ci capisce un tubo e più in la può andare solo col classico formattone , 99 volte su 100 del tutto inutile . Con qualunque SO . In windows 8 di prossimo arrivo la console viene ulteriormente rivalutata anche da Microsoft, ed in lion per una sana e profonda manutenzione essendo unix base è vitale. Non si può pretendere di poter intervenire sul corretto funzionamento del sistema hardware sottostante mantenendolo occupato da processi attivi . Compito del SO e non da meno anche del software è di gestire l' hardware sottostante , non di raccontargli le favole sotto na finestra.


E.C - Per errore senza accorgemene m' ero agganciato direttamente nel tuo post - rimediato in tempo pe fortuna a quest' ora di notte siamo in pochi .
Cita messaggio
#6
Ma risalire a chi appartiene il numero 899...? Non è la società che lo manda questo malware o trojan che sia?... Huh
«Quanta strada ha fatto il tuo pensiero per giungere alla sapienza, e quanta dovrà ancora farne per giungere alla verità?» (G. A. Rol) Idea 

Ubuntu 12.04 Plus Remix - 64 bit
Cita messaggio
#7
Non ti preoccupare, Franco: di notte, siam pochi.
In quanto, invece, alle cose che ho scritto su PCLinuxOS e la praticamente totale assenza di bisogno di far ricorso al Terminale, confermo tutto quanto (e l'ho anche scritto sul forum di PCLinuxOS: il Terminale va bene per chi fa lo Sviluppatore, ma il normale Utente non deve farci ricorso se non vuole [e nessun utente "medio" giammai lo vorrebbe]).
Ho avuto modo di constatare (essendo entrato in contatto con alcuni degli Sviluppatori di PCLinuxOS [quelli che si occupano, perlopiù, delle "versioni non-ufficiali"]) dell'enorme -impressionante!- lavoro che fanno al Terminale al fine di render possibile a tutti gli Utenti di poter far completamente -o quasi- a meno del Terminale.
Personalmente, io, Midnight Commander l'ho sempre disinstallato subito (gestisco meglio i file da Xfe o da PCManFM o da Thunar, secondo i casi), non appena installato PCLinuxOS. Non uso far ricorso al Terminale e NON consiglio a nessuno -se non ci sono costretto per forza di cose- a farvi ricorso. E son persuaso che proprio tale importanza profusa nel "convincere il normale Utente a digitar sul Terminale" sia la principale causa della troppo scarsa diffusione (rispetto a quel che si meriterebbe) di GNU/Linux. Se Windows -con l'uscita di Win8- pretenderà che i suoi propri Utenti si mettano a "smanettare" sul Terminale, prevedo (alquanto a breve) un biblico Esodo da Windows verso più accoglienti lidi...
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#8
(30-11-2011, 02:23 )Bingol Ha scritto: Ma risalire a chi appartiene il numero 899...? Non è la società che lo manda questo malware o trojan che sia?... Huh
Non ti so proprio dire, ma senza le dovute prove, qualunque illazione rimane solo un'illazione. [Immagine: http://www.kolobok.us/smiles/personal/pogranichnik.gif]
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#9
Mi spiace per le persone che ignare contattato il numero che leggono...
«Quanta strada ha fatto il tuo pensiero per giungere alla sapienza, e quanta dovrà ancora farne per giungere alla verità?» (G. A. Rol) Idea 

Ubuntu 12.04 Plus Remix - 64 bit
Cita messaggio
#10
I numeri utilizzati dal virus sono i seguenti:

Italia
899 021 233

Svizzera
0906-000 172
0906-000 169
0906-000 173

Belgio
0907 480 52
0907 480 46

Austria
0930 823 833

Liechtenstein
+423 877 0158
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)