21 gennaio 2015

Doctor Web avvisa gli utenti che i malintenzionati inviano in messaggi indesiderati un programma malevolo pericoloso di cui la funzione principale è di scaricare ed installare sul computer vittima un programma encoder. Quest'ultimo, denominato Trojan.Encoder.686, rappresenta un grave rischio per gli utenti in quanto cifra tutti i file sul computer e al momento non esiste il metodo per decifrarli.

Il trojan-downloader, aggiunto al database dei virus Dr.Web sotto il nome del Trojan.DownLoad3.35539, penetra sui computer vittime dalle email di spam a cui il malware è allegato in un archivio ZIP. Gli specialisti Doctor Web hanno trovato simili messaggi scritti in diverse lingue, ad esempio in inglese, in tedesco e in georgiano.

L'archivio allegato all'email include un file .SCR eseguibile — di default, i salvaschermi per Windows sono questo tipo di file. Se l'utente avvia il file in archivio, vuol dire che avvia il Trojan.DownLoad3.35539 che estrae dal proprio corpo un testo .RTF, lo salva su disco e lo visualizza sullo schermo del computer sotto attacco.

Allo stesso tempo, il Trojan.DownLoad3.35539 si connette ad uno dei server appartenenti ai malintenzionati, scarica dal server un archivio con dentro l'encoder Trojan.Encoder.686, anche conosciuto come CTB-Locker, dopodiché decomprime e lancia questo programma malevolo. Una volta avviato sul computer compromesso, il Trojan.Encoder.686 codifica i file dell'utente e quindi visualizza un messaggio in cui chiede di pagare per la possibilità di riavere i file:

I malfattori danno alle vittime soltanto 96 ore per pagare per la decifratura, minacciando che se l'utente non paghi, tutti i file criptati verranno persi per sempre. Per avere le maggiori informazioni circa le condizioni e la somma del pagamento, all'utente viene proposto di consultare un sito nella rete anonima TOR.

Il Trojan.Encoder.686 è assemblato sulla base delle librerie TOR e OpenSSL e utilizza la loro crittografia. Nel corso di cifratura, l'encoder utilizza le possibilità di CryptoAPI per l'ottenimento di dati casuali, nonché la crittografia ellittica, pertanto al momento non è possibile decifrare i file cifrati da questo malware.

Doctor Web mette in guardia gli utenti: siate estremamente cauti lavorando con la posta elettronica, non aprite allegati alle email ricevute da mittenti sconosciuti e non eseguite file inclusi in messaggi che suscitano sospetto. Inoltre, è opportuno eseguire a cadenze regolari il backup di tutti i dati importanti.

Inoltre, vi ricordiamo che la suite antivirus Dr.Web Security Space versione 9 e 10 comprende diversi componenti che consentono di configurare il backup di dati importanti a cadenze regolari e di proteggere il computer contro le azioni degli encoder e degli altri programmi malevoli.

Per tutelarsi contro la perdita di dati importanti, servitevi dei seguenti suggerimenti:

1. Assicurarsi che nelle impostazioni del programma Dr.Web Security Space (versione 9 e 10) è attivata la funzione "Protezione preventiva" che protegge il PC contro le minacce non ancora conosciute dal database dei virus Dr.Web.

   

2. Di seguito attivare la "Prevenzione della perdita di dati" nella sezione "Strumenti" e configurare i parametri del salvataggio di file importanti in copie protette.

   

3. Eseguire il backup dei dati importati e configurare il backup automatico secondo il calendario, selezionando un intervallo adatto.

   

Queste funzioni, insieme alla prudenza nell'utilizzo dell'email, consentono di proteggere il sistema operativo dalla maggior parte delle minacce informatiche moderne, compresi i trojan-encoder.