13 marzo 2013

Doctor Web — produttore russo di software antivirale — informa della massiccia diffusione in Europa dell’encoder Trojan.ArchiveLock. Sempre più computer degli utenti francesi e spagnoli vengono infettati da una versione di questo malware, nominata Trojan.ArchiveLock.20.

Doctor Web ha scritto dell’encoder Trojan.ArchiveLock nello agosto scorso. Questo malware rende i file di utente inaccessibili cifrandoli mediante il programma di archiviazione WinRAR. Per insediare il trojan su un computer bersaglio, i malintenzionati cercano di accedere al computer remoto tramite il protocollo RDP utilizzando il metodo “forza bruta”. Una volta riusciti ad entrare sul computer attaccato, i criminali ci avviano Trojan.ArchiveLock.20 il quale mette l’applicazione di cifratura in una delle cartelle di sistema.

Di seguito Trojan.ArchiveLock.20 genera un elenco dei file da codificare dopo di che ripulisce il Cestino ed elimina le copie backup memorizzate sul computer. Utilizzando l’applicazione console WinRAR, l’encoder comprime i file di utente in archivi autoestraenti protetti da password e distrugge i dati originari tramite un’utility speciale. In seguito a queste azioni, diventa impossibile recuperare i file rimossi.

La password che protegge gli archivi può essere lunga di più di cinquanta caratteri. Compiuta la cifratura dei file, Trojan.ArchiveLock.20 visualizza sullo schermo del computer vittima un avviso in cui i malintenzionati pretendono che una somma di 5000 USD venga pagata dall’utente. L’avviso promette l’invio della password necessaria per estrarre i file dagli archivi contro il versamento di questa somma e consiglia all’utente di contattare il falso “supporto tecnico” a uno dei seguenti indirizzi di posta elettronica:

• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• sec777999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• usidhelp2@gmail.com,
• frsechelp@gmail.com,
• spainsec1@gmail.com,
• spainsec2@gmail.com.

Il trojan ha già infettato computer di molti utenti in Spagna e Francia. Solo nelle ultime quarantotto ore, il servizio di supporto tecnico di Doctor Web ha ricevuto diverse decine di richieste di assistenza dagli utenti i cui file sono stati cifrati da Trojan.ArchiveLock.20, e tali richieste continuano ad arrivare. Sebbene i malintenzionati dichiarino nell’avviso di ricatto che non sia possibile trovare la password di accesso agli archivi perché per la cifratura si usa il metodo di hash shal, in realtà in molti casi i file possono essere decifrati e ripristinati. Doctor Web ha scritto di questa possibilità sempre ad agosto 2012.

Doctor Web consiglia agli utenti i cui computer sono stati attaccati da Trojan.ArchiveLock.20 di non rimuovere alcun file dal disco rigido e non reinstallare il sistema operativo. Gli utenti possono invece rivolgersi al supporto tecnico di Doctor Web creando una Richiesta di cura nel sistema elettronico di assistenza. Il servizio di decifratura dei file tenuti in ostaggio dal trojan è gratuito.