Il Trojan chiede un riscatto

di Pasquale Miele

Pubblicato 19 Luglio 2007
Aggiornato 12 Febbraio 2018 20:50

Da tempo oramai siamo a conoscenza del fatto che in rete girino malware capaci di rubare informazioni e dati confidenziali, ma ora questi ultimi potranno anche richiedere somme di denaro per la restituzione agli utenti dei dati.

È il caso di un nuovo Trojan, classificato con il nome Sinowal.FY, che sta combinando casini tra la rete: la sua “missione” è quella di rubare le informazioni, criptarle, per poi chiedere un riscatto in denaro al povero malcapitato che vorrà la restituzione dei dati personali.

Si tratta di un ransomware intento a far guadagnare grosse somme al suo autore: infatti la richiesta di denaro, per scaricare il software capace di decriptare le informazioni, è di 300 dollari. Direi una somma esigua per le aziende che hanno estremo bisogno dei loro dati e che non vogliono perdere tempo in indagini e via dicendo.

Questo malware infetta per primo il file winlogon.exe , poi svchost.exe e via via tutti i processi responsabili del funzionamento del sistema operativo: in questo modo ad ogni riavvio del sistema, il codice sarà avviato in modo immediato. Inoltre crea una cartella nascosta nella directory system32 che contiene le due librerie video.dll e audio.dll.

Il file readme.txt riporta il seguende messaggio:

“Hello, your files are encrypted with RSA-4096 algorithm. You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team”.

In realtà è stato scoperto che l’algoritmo usato non è poi così sofisticato, e quindi è piuttosto facile risalire ai dati originali. La società inglese Prevx ha messo a disposizione degli utenti un tool in grado di rimuovere la minaccia e di decifrare le informazioni rubate.

Per la cronaca vi informo che questa minaccia ha dato grattacapi anche a grandi colossi come Hp e a enti governativi quali l’US Department of Transportation.