In giro per il web sono numerosi i siti in cui si invita l’utente a scaricare fantomatici software antivirus, che poi in realtà si rilevano essere finti antivirus, finti programmi di sicurezza, finalizzati solo a rubare vostri dati, trasformare il vostro computer in Pc-zombie, pronto a ricevere istruzioni, come ad esempio ricevere altri software dannosi per il vostro sistema e per la vostra privacy.

Si parla di Fake Antivirus, ovvero anche Scareware, in quanto questi software tendono spesso a spaventare l’utente con finti messaggi di allarme.

L’ultima novità in questo campo è questa finta utility di windows, che si presenta come un piccolo e utile tool per scovare e riparare file decriptati corrotti.

In realtà questo programma installa un trojan particolare

C:\Windows\system32\fpfstb.dll

Questa piccola libreria si comporta da “ransomware“: con tale termine si usa indicare quei malware che, una volta insediatosi nel sistema, provvedono a crittografare file e documenti personali rendendone impossibile la consultazione senza conoscere la chiave per decifrarli.

Il fine è quello di estorcere denaro, costringendo l’utente a chiedere “supporto” a pagamento.

Non è la prima volta che si presentano queste tipologie di malware: per Kaspersky il 2007 era l’anno dei ransomware, e l’anno dopo la stessa società di sicurezza aveva chiesto aiuto per sconfiggere Gpcode, il primo ransomware della storia, datato 2005.

Ritornando a FileFix, analizziamo meglio il suo comportamento e come risolvere l’infezione:

In sostanza, la libreria di cui ho parlato prima, fa sì che ogni volta che apriremo un documento PDF, office o simile, esso viene criptato, cosicché il file diventa illegibile da una normale applicazione.

Quando verrà poi aperto il file criptato, il trojan vi farà apparire un messaggio di windows con scritto questo:

Se utilizzare il programma e avviate la scansione, l’effetto sarà quello (in realtà) di criptare tutti i documenti presenti nel sistema.

Qual è la soluzione?

Julia Wolf di FireEye, è riuscita a decifrare la routine per decriptare i file: grazie a ciò è stato creato un piccolo tool, che si chiama Anti FileFix creato da Bobby, di Malzilla.org.

Procedura per rimuovere l’infezione e salvare i file criptati:

1. Innanzitutto dobbiamo rimuovere il programma FileFix, e lo si puo fare benissimo scaricando Malwarebytes Antimalware: Donwload, installatelo, lo aggiornate, e fate una bella scansione approfondita del sistema e mettete tutto in quarantena; infine riavviate il computer.
2. Scaricate Anti FileFix, aprite il programma, clicca su Select Folder per selezionare la cartella o anche l’intero drive in cui sono presenti i documenti, poi cliccate su OK;
3. Cliccate su Scan and Fix, in questo modo vengono individuati i file criptati e veranno decriptati.

NB: Il tool crea una copia dei file decriptati, creata nella stessa cartella dove si trova il file criptato, il cui nome è lo stesso ma con il il suffisso _fixed.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.