Battezzati “ransomware”, si tratta di componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all’utente crittografando, ad esempio, i suoi file personali. Kaspersky ha più volte, insieme con altre aziende attive nel campo della sicurezza informatica, posto l’accento sulla crescente minaccia.
La stessa azienda moscovita, con un articolo pubblicato sul suo blog, chiede oggi l’aiuto di chiunque sia disposto a contribuire nello scardinare l’algoritmo crittografico impiegato da una variante di Gpcode, un “ransomware” che tiene sotto scacco documenti e file personali memorizzati sul personal computer.
La recente variante di Gpcode, una volta insediatasi sul sistema, provvede a crittografare ben 143 differenti tipi di file al cui nome viene aggiunto il suffisso _CRYPT
. I file originali, inoltre, vengono automaticamente eliminati da parte del malware.
Gpcode fa quindi apparire a video un messaggio recante le seguenti indicazioni: “i vostri file sono stati crittografati con l’algoritmo RSA-1024. (…) Per recuperarli è necessario che acquistiate il nostro modulo di decifratura. Per comprarlo, contattateci all’indirizzo *****@yahoo.com“.
Kaspersky ha confermato di aver provveduto ad analizzare i campioni della nuova variante di Gpcode ma dalla società si è spiegato come sia risultato impossibile decifrare i dati crittografati dal malware.
La chiave sarebbe generata utilizzando il componente crittografico integrato in Windows (Microsoft Enhanced Cryptographic Provider): Kaspersky dispone della chiave pubblica impiegata dal “ransomware” ma non della corrispondenza chiave privata necessaria per sbloccare i file cifrati.
“L’attività di cracking di una chiave RSA 1024 bit è estremamente difficoltosa”, ha dichiarato Aleks Gostev di Kaspersky, “ci vorrebbero circa 15 milioni di computer moderni, in funzione per un anno, per risalire alla chiave corretta”. L’azienda ha richiesto quindi l’aiuto di crittografi, istituzioni governative e scientifiche, ricercatori indipendenti e software house. Alcuni hanno comunque criticato l’iniziativa spiegando come non possa essere realisticamente messa in pratica.
Kaspersky fu in grado di risalire alla chiave usata dal primo esempio di Gpcode (Maggio 2005). In quel caso Gpcode usava una chiave di 660 bit che avrebbe potuto essere violata, utilizzando un singolo computer, nell’arco di trent’anni. Kaspersky riuscì a venirne a capo in appena 10 minuti solamente perché, come sottolineato dalla stessa azienda, l’autore del malware aveva peccato in superficialità. Diversamente, sarebbe stato pressoché impossibile recuperare i file cifrati dal malware.