03/12/2010
11:51

Una nuova minaccia prende in ostaggio il computer chiedendo 100 $ per rilasciarlo.

Identificata dal C.R.A.M. come MBR.SefTad.A, blocca completamente l'accesso al sistema operativo, visualizzando un messaggio a video prima del caricamento di Windows.

Negli ultimi giorni è in circolazione un particolare tipo di malware che, utilizzando tecniche leggermente più complesse di quelle che vengono generalmente utilizzate per garantirsi l'esecuzione con Windows, riesce ad inibire il caricamento del sistema operativo.

Raggiunge questo risultato modificando i settori del disco in cui è residente il Master Boot Record (MBR), sostituendo quello standard con delle routine che invece di caricare il sistema operativo visualizzano sullo schermo un messaggio che avverte l'utente che tutti i dischi presenti sul computer sono stati criptati.
Il messaggio suggerisce che se si vogliono recuperare i dati si deve visitare un sito, immettere il proprio ID e pagare un riscatto di 100$ per ricevere una password per sbloccare il computer. Naturalmente le istruzioni fornite sono assolutamente da non seguire.

" Your PC is blocked.
All the hard drives were encrypted.
Browse www. safe-data. ru to get an access to your system and files.
Any attempt to restore the drives using other way will lead to inevitable data loss.
Please remember: Your ID: 77xxxx
with its help your sign-on password will be generated.

Enter password: _ "

Dall'analisi del codice virale, il virus sposta l'MBR originale dal  1° settore (settore 0) al 5° settore del disco, sovrascrivendo anche i settori 2 e 3 ed eliminando il marcatore di fine settore 55AA sostituendolo con un suo marcatore.
Nel 2° settore sono presenti le routine attraverso le quali il virus interagisce con l'utente e controlla la correttezza della password immessa, mentre nel 3° è presente il testo del messaggio sopra riportato. Il 4° settore viene lasciato vuoto.

Nel caso in cui la password inserita sia corretta, il virus stesso riporta l'MBR originale alla sua posizione di default (settore 0) e azzera i settori che aveva occupato in precedenza, mentre se la password inserita è errata, dopo la 3° immissione viene riavviato il computer.

Data la natura del virus, formattare il disco e reinstallare Windows è totalmente inefficace, poiché durante la formattazione e la reinstallazione del sistema operativo non viene sovrascritto l'MBR del disco.

Sconsigliamo anche di procedere con un fixmbr dalla console di ripristino, perché la tabella delle partizioni del disco è stata spostata dal virus e quindi ripristinare l'MBR standard di Windows porterebbe alla perdita della tabella delle partizioni e quindi ad un disco che risulterebbe non partizionato, con la conseguente perdita di tutti i dati presenti.

Nonostante quello che è scritto nel messaggio, i dati sul disco non sono criptati, per cui sono facilmente recuperabili una volta ripristinato l'MBR correttamente insieme alla tabella delle partizioni.
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: