6338 Letture

Kaspersky chiede aiuto per sconfiggere un "ransomware"

Battezzati "ransomware", si tratta di componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all'utente crittografando, ad esempio, i suoi file personali. Kaspersky ha più volte, insieme con altre aziende attive nel campo della sicurezza informatica, posto l'accento sulla crescente minaccia.
La stessa azienda moscovita, con un articolo pubblicato sul suo blog, chiede oggi l'aiuto di chiunque sia disposto a contribuire nello scardinare l'algoritmo crittografico impiegato da una variante di Gpcode, un "ransomware" che tiene sotto scacco documenti e file personali memorizzati sul personal computer.

La recente variante di Gpcode, una volta insediatasi sul sistema, provvede a crittografare ben 143 differenti tipi di file al cui nome viene aggiunto il suffisso _CRYPT. I file originali, inoltre, vengono automaticamente eliminati da parte del malware.


Gpcode fa quindi apparire a video un messaggio recante le seguenti indicazioni: "i vostri file sono stati crittografati con l'algoritmo RSA-1024. (...) Per recuperarli è necessario che acquistiate il nostro modulo di decifratura. Per comprarlo, contattateci all'indirizzo *****@yahoo.com".

Kaspersky ha confermato di aver provveduto ad analizzare i campioni della nuova variante di Gpcode ma dalla società si è spiegato come sia risultato impossibile decifrare i dati crittografati dal malware.
La chiave sarebbe generata utilizzando il componente crittografico integrato in Windows (Microsoft Enhanced Cryptographic Provider): Kaspersky dispone della chiave pubblica impiegata dal "ransomware" ma non della corrispondenza chiave privata necessaria per sbloccare i file cifrati.

"L'attività di cracking di una chiave RSA 1024 bit è estremamente difficoltosa", ha dichiarato Aleks Gostev di Kaspersky, "ci vorrebbero circa 15 milioni di computer moderni, in funzione per un anno, per risalire alla chiave corretta". L'azienda ha richiesto quindi l'aiuto di crittografi, istituzioni governative e scientifiche, ricercatori indipendenti e software house. Alcuni hanno comunque criticato l'iniziativa spiegando come non possa essere realisticamente messa in pratica.


Kaspersky fu in grado di risalire alla chiave usata dal primo esempio di Gpcode (Maggio 2005). In quel caso Gpcode usava una chiave di 660 bit che avrebbe potuto essere violata, utilizzando un singolo computer, nell'arco di trent'anni. Kaspersky riuscì a venirne a capo in appena 10 minuti solamente perché, come sottolineato dalla stessa azienda, l'autore del malware aveva peccato in superficialità. Diversamente, sarebbe stato pressoché impossibile recuperare i file cifrati dal malware.

  1. Avatar
    Lettore anonimo
    13/06/2008 23:29:27
    Bella proposta Pino, ma davvero bella. Invece di occupare risorse per la lotta contro parecchie malattie, lo studio per la prevenzione dei terremoti, si potrebbero impiegarli per fare un brute-force su dati di un singolo utente. Le ricette di nonna papera sono un tesoro che non vale la pena perdere.

    Michele
  2. Avatar
    Pino Badalamenti
    11/06/2008 15:31:28
    La mia proposta, vista la difficoltà nel decifrare la chiave a 1024 bit, è quella di formare una rete mondiale di computer che si occupano della decifrazione della stessa e tutti agendo come fosse un singolo super computer.
    Lo stesso sitema viene utilizzato, se non mi sbaglio, da centri di ricerca e da centri di elaborazione meteorologici.

    Pino Badalamenti
  3. Avatar
    longinous
    10/06/2008 09:24:40
    CDO e, una volta arrivato da qualche parte, spezzare i ditini a chi di dovere? :evil:
Kaspersky chiede aiuto per sconfiggere un "ransomware" - IlSoftware.it