Pubblicità
Problema Troyan TR\Crypt.XPACK.Gen
- Autore discussione MLeo87
- Data d'inizio
Pubblicità
p3gaz_001
Utente Èlite
- Messaggi
- 2,944
- Reazioni
- 345
- Punteggio
- 65
mi sembra sia uno stesso problema riscontrato ... posto anche qui..
[Fonte esterna... cit.] In queste ultime settimane, è stata sviluppata una nuova variante del virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa, il cui compito, fin dalle sue più antiche varianti, è quello di criptare i file e i documenti della vittima.
La sua prima versione utilizzava una chiave di criptazione a 660 bit e, per decriptarla, sarebbero stati necessari ben 30 anni.
Fortunatamente, vi furono degli errori nella programmazione e la chiave di decriptazione fu scoperta in breve tempo.
La nuova variante utilizza una chiave di criptazione RSA a 1024 bit molto più difficile da decriptare.
Analisi del malware
Appena eseguito, il malware scansiona tutti i dischi rigidi e le memorie collegate al computer in cerca di file da criptare.
È in grado di cifrare oltre 140 tipi di file: praticamente tutti i tipi di documenti, immagini e archivi che trova nel vostro computer, utilizzando il Microsoft Enhanced Cryptographic Provider.
I file vengono criptati utilizzando due chiavi di cifratura, una pubblica e una privata. Quella pubblica è usata per criptare i file ed è contenuta nel sorgente del virus; quella privata è invece usata per decrittare i file, e viene distribuita dopo aver pagato il creatore del virus.
Gpcode.ak crea un nuovo file aggiungendo il suffisso _CRYPT oltre l'estensione. Il file contiene il documento originale, che però è criptato dal virus. Il file originale viene quindi cancellato.
Es. immagine.jpg --> Immagine originale, verrà poi cancellata
immagine.jpg_CRYPT --> File criptato
Pone in ogni cartella contenente file criptati un file nominato ! _READ_ME_!.txt, che notifica la criptazione dei documenti e invita a contattare il creatore del virus per ricevere a pagamento la chiave di decriptazione con cui potremo riavere i nostri file.
Il virus risparmia i file che hanno una di queste caratteristiche:
* Ha una dimensione inferiore ai 10 byte
* Ha una dimensione maggiore di 734003200 byte
* Ha come attributi "Nascosto" e "Di sistema"
Dopo aver criptato i file, il virus crea e lancia un file vbs che ha lo stesso nome dell'eseguibile infetto. Il suo compito è quello di cancellare il file eseguibile e di mostrare una finestra pop-up, che avvisa della criptazione dei file, invitando nuovamente a contattare via e-mail il creatore per ricevere la chiave di decriptazione:
Il virus non lascia tracce nel registro di configurazione o in altre parti del sistema.
Kaspersky afferma che il virus viene introdotto nel sistema infetto utilizzando altri software maligni, quali Trojan Downloader e simili.
Attualmente, il virus è disponibile solo per sistemi Windows. Gli utenti di Linux, Mac e altri OS possono dormire sonni tranquilli.
Aleks Gostev, ricercatore di Kaspersky, dice: "L'attività di cracking di una chiave RSA 1024 bit è estremamente difficoltosa. Ci vorrebbero circa 15 milioni di computer moderni, in funzione per un anno, per risalire alla chiave corretta.".
Attualmente, quindi, l'unico metodo per recuperare i file criptati rimane quello descritto in questo articolo, a meno che non abbiate intenzione di pagare il creatore del virus per ottenere la chiave di decriptazione. Kaspersky chiede aiuto a chiunque volesse partecipare a questa iniziativa; e proprio per questo ha aperto un forum apposito, che abbonda di idee e proposte sempre nuove, tant'è che all'orizzonte sembra intravedersi una possibile soluzione definitiva al problema.
Infatti, in un intervento nel suo weblog, Kaspersky ha scritto che la nuova variante del virus sembra essere anch'essa vittima di un errore, che renderebbe possibile, in determinate circostanze, ottenere la chiave privata di decriptazione necessaria per decrittare i file. La casa antivirus russa lavora per sviluppare un tool che sia in grado di sfruttare questo errore e ottenere la chiave di decriptazione.
Gpcode.ak: il virus che rapisce i file e chiede il riscatto [+++++.it]
[Fonte esterna... cit.] In queste ultime settimane, è stata sviluppata una nuova variante del virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa, il cui compito, fin dalle sue più antiche varianti, è quello di criptare i file e i documenti della vittima.
La sua prima versione utilizzava una chiave di criptazione a 660 bit e, per decriptarla, sarebbero stati necessari ben 30 anni.
Fortunatamente, vi furono degli errori nella programmazione e la chiave di decriptazione fu scoperta in breve tempo.
La nuova variante utilizza una chiave di criptazione RSA a 1024 bit molto più difficile da decriptare.
Analisi del malware
Appena eseguito, il malware scansiona tutti i dischi rigidi e le memorie collegate al computer in cerca di file da criptare.
È in grado di cifrare oltre 140 tipi di file: praticamente tutti i tipi di documenti, immagini e archivi che trova nel vostro computer, utilizzando il Microsoft Enhanced Cryptographic Provider.
I file vengono criptati utilizzando due chiavi di cifratura, una pubblica e una privata. Quella pubblica è usata per criptare i file ed è contenuta nel sorgente del virus; quella privata è invece usata per decrittare i file, e viene distribuita dopo aver pagato il creatore del virus.
Gpcode.ak crea un nuovo file aggiungendo il suffisso _CRYPT oltre l'estensione. Il file contiene il documento originale, che però è criptato dal virus. Il file originale viene quindi cancellato.
Es. immagine.jpg --> Immagine originale, verrà poi cancellata
immagine.jpg_CRYPT --> File criptato
Pone in ogni cartella contenente file criptati un file nominato ! _READ_ME_!.txt, che notifica la criptazione dei documenti e invita a contattare il creatore del virus per ricevere a pagamento la chiave di decriptazione con cui potremo riavere i nostri file.
Il virus risparmia i file che hanno una di queste caratteristiche:
* Ha una dimensione inferiore ai 10 byte
* Ha una dimensione maggiore di 734003200 byte
* Ha come attributi "Nascosto" e "Di sistema"
Dopo aver criptato i file, il virus crea e lancia un file vbs che ha lo stesso nome dell'eseguibile infetto. Il suo compito è quello di cancellare il file eseguibile e di mostrare una finestra pop-up, che avvisa della criptazione dei file, invitando nuovamente a contattare via e-mail il creatore per ricevere la chiave di decriptazione:
Il virus non lascia tracce nel registro di configurazione o in altre parti del sistema.
Kaspersky afferma che il virus viene introdotto nel sistema infetto utilizzando altri software maligni, quali Trojan Downloader e simili.
Attualmente, il virus è disponibile solo per sistemi Windows. Gli utenti di Linux, Mac e altri OS possono dormire sonni tranquilli.
Aleks Gostev, ricercatore di Kaspersky, dice: "L'attività di cracking di una chiave RSA 1024 bit è estremamente difficoltosa. Ci vorrebbero circa 15 milioni di computer moderni, in funzione per un anno, per risalire alla chiave corretta.".
Attualmente, quindi, l'unico metodo per recuperare i file criptati rimane quello descritto in questo articolo, a meno che non abbiate intenzione di pagare il creatore del virus per ottenere la chiave di decriptazione. Kaspersky chiede aiuto a chiunque volesse partecipare a questa iniziativa; e proprio per questo ha aperto un forum apposito, che abbonda di idee e proposte sempre nuove, tant'è che all'orizzonte sembra intravedersi una possibile soluzione definitiva al problema.
Infatti, in un intervento nel suo weblog, Kaspersky ha scritto che la nuova variante del virus sembra essere anch'essa vittima di un errore, che renderebbe possibile, in determinate circostanze, ottenere la chiave privata di decriptazione necessaria per decrittare i file. La casa antivirus russa lavora per sviluppare un tool che sia in grado di sfruttare questo errore e ottenere la chiave di decriptazione.
Gpcode.ak: il virus che rapisce i file e chiede il riscatto [+++++.it]
Dovrei aver risolto il problema con questo strumento di rimozione malware rilasciato ad aprile dalla Microsoft per Windows Vista, Windows XP, Windows 2000 e Windows Server 2003... il virus bastardo era il Conficker.B e Conficker.gen
Il link per scaricare lo Strumento di rimozione Malware è il seguente:
Dettagli download: Strumento di rimozione malware per Windows
Ho staccato tutti i PC dalla rete, Disattivato il Ripristino Configurazione di Sistema, avviato i PC in Modalità Provvisoria e fatto girare il programmino su ognuno di essi (compreso il Server).
In fine ho installato su tutti i PC la Patch anti Conficker rilasciata da Microsoft al seguente link:
Microsoft Security Bulletin MS08-067 – Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
:luxhello: Ciao a tutti e Grazie!!!! :birra:
Il link per scaricare lo Strumento di rimozione Malware è il seguente:
Dettagli download: Strumento di rimozione malware per Windows
Ho staccato tutti i PC dalla rete, Disattivato il Ripristino Configurazione di Sistema, avviato i PC in Modalità Provvisoria e fatto girare il programmino su ognuno di essi (compreso il Server).
In fine ho installato su tutti i PC la Patch anti Conficker rilasciata da Microsoft al seguente link:
Microsoft Security Bulletin MS08-067 – Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
:luxhello: Ciao a tutti e Grazie!!!! :birra:
MarioKiller
Utente Attivo
- Messaggi
- 1,023
- Reazioni
- 9
- Punteggio
- 73
Stesso problema solamente che il virus è TR/Crypt.XPACK.Gen2. Non so perchè ma me lo rileva e me lo associa all'exe di winrar. Ho allora fatto una scansione approfondita con avira e ho eliminato tutto quello che c'era. Ho disinstallato pure winrar e l'ho reinstallato solo che il problema si ripresenta tutte le volte che clicco su un archivio winrar :mad: Ora dato che non me l'aveva mai fatto o è un falso positivo oppure veramente un virus.....
Gandalf76
Utente Attivo
- Messaggi
- 14
- Reazioni
- 1
- Punteggio
- 36
L'ho fa pure a me questo scherzetto e ho pure messo nelle eccezzioni la cartella di winrar con tutti gli exe ma me lo rileva continuamente. Penso sia un falso positivo perchè l'ho installato quasi un anno fa e con Avira Antivir 9 nn me lo rilevava solo col 10 è cominciato il problema.
Risolto aggiornandolo all'ultima versione.
Pubblicità