Immaginate un giorno di accendere il vostro computer, cercare di aprire i vostri file e non poterlo fare. Tutto bloccato, tutti i documenti, tutte le mail illeggibili. Tranne una, che vi chiede 200 dollari per poter ottenere di nuovo l'accesso ai vostri file, alle vostre e-mail, ai vostri documenti. Non è fantasia, è quello che può accadere veramente se il vostro computer contrae il Trojan chiamato Pgpcoder o Gpcode, individuato su Internet nell'ultima decade di maggio.
La diffusione di questo virus su Internet è molto bassa, tuttavia le sue potenzialità sono distruttive e, a differenza dei molti worm che hanno calcato le strade di bit nei mesi scorsi, può compromettere seriamente il funzionamento del computer.
Il Trojan può essere installato in modo automatico attraverso i diversi exploit disponibili per i browser. In un rapporto pubblicato il 23 maggio da Websense, veniva descritto l'uso di un exploit per Internet Explorer progettato per violare la sicurezza del browser e installare automaticamente il trojan. L'exploit riguarda una vulnerabilità nella gestione dei file di HELP di Windows già corretta da Microsoft nel bollettino MS04-23 e dunque inutilizzabile sui computer che hanno regolarmente aggiornato il proprio sistema attraverso Windows Update.
Una volta installato, o attraverso un exploit o attraverso una e-mail, il trojan procede con la sua azione nociva. Se non contiene già in sé le routine di esecuzione, può scaricare da un sito remoto le istruzioni di azioni. Una volta pronto, cerca nel computer i file con estensioni note contenenti documenti o affini: .doc, .html, .jpg, .rtf, .txt, .xls, .zip e altre tipologie. Su questi file il trojan esegue azioni di criptazione e li rende illegibili. L'autore non può più operare su di essi poiché sono codificati attraverso un vocabolario sconosciuto al computer.
L'unico modo per poter ottenere di nuovo l'accesso ai propri documenti è quello di ricodifcare i file attraverso la chiave di decriptazione posseduta solamente da chi ha proceduto alla prima decodifica. Il Trojan pensa anche a questo. In ogni cartella del computer, il programma lascia infatti un file testuale, non criptato, chiamato ATTENTION!!!.txt in cui compare il messaggio in figura.
![Il contenuto del file ATTENTION!!!.txt: Some files are coded. To buy decoder mail: [user]@yahoo.com with subject: PGPcoder 000000000032](https://www.html.it/articoli/img/articoli_sicurezza/104/figura1.jpg)
All'utente che vuole tornare in possesso dei propri dati viene chiesto di inviare un e-mail ad un indirizzo che nell'immagine, reperita sul sito di Websense, è stato mascherato ma che corrisponde ad un account di Yahoo! Mail. In risposta alla e-mail si avrà il prezzo dell'operazione: 200 dollari e un link verso il sito http://www.e-gold.com/, un sistema di pagamento elettronico.
Sinora i ricatti utilizzati con tecniche di cracking venivano diretti solamente a grandi siti Web: si minacciavano blocchi di servizio in cambio di un "riscatto" più o meno corposo. Con quest'ultimo Trojan, cui ne potrebbero seguire anche altri ancora più efficaci, il fenomeno si espande anche a utenti comuni, semplici navigatori ignari che, se capitati su siti Web poco controllati, possono trovarsi "rapiti" i propri dati.
Il virus, ribattezzato "ransomware", ossia "software di riscatto", non è l'ultimo dei pericoli recenti apparsi sul Web. Phishing, pharming e rootkit hanno messo in crisi le già fragili difese degli utenti. Secondo alcuni dati divulgati da Microsoft, solo l'80 per cento dei computer Windows connessi alla rete hanno un antivirus attivo e aggiornato. Sebbene nessun antivirus possa proteggere al 100 per cento da pericoli ignoti, il dato segna la scarsa sensibilità degli utenti alla sicurezza del proprio computer. Un virus del futuro potrebbe rendere davvero Internet un ghetto di periferia in cui entrare con sospetto e circospezione.
