Virus RSA 4096

Dicembre 2016

Il virus RSA 4096 è un malware della categoria ransomware, più precisamente crypto-ransomware, poiché la sua attività principale è quella di rubare i propri documenti chiedendo un riscatto per poterli recuperare. Questi malware, contrariamente ad altri Trojan underhand, sono particolarmente visibili poiché modificano l’estensione dei documenti criptati, rendendoli inutilizzabili e aprono spesso un file d’istruzioni in formato testo, immagine o pagina web all'avvio del PC.

Contrariamente a quanto indicato dall'algoritmo non utilizza l’RSA ma l a crittografia AES. Il nome deriva dal messaggio che questo lascia quando visualizza il messaggio d’istruzione. Esistono due famiglie di virus RSA 4096, che lasciano comunque lo stesso tipo di messaggio: TeslaCrypt RSA 4096, che imperversa da dicembre 2015 attraverso mail maliziose, WebExploit e CryptXXX RSA 4096, apparso ad aprile 2016, che utilizza esclusivamente WebExploit.

TeslaCrypt - RSA 4096

TeslaCrypt - RSA 4096 si caratterizza da estensioni di tipo .mp3, .jpg e da file d’istruzione di tipo -!RecOveR!-xxxxx, i nomi e le estensioni cambiano tutte le parole. Il virus in questione posizione un file nella cartella Documenti e una chiave run per avviarlo, ad esempio:

HKU\S-1-5-21-2310232938-1367323299-4047050468-1001\...\Run: [bssimgkyvmuw] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Maria-Monica\Documents\bwrdbkxohoos.exe"

CryptXXX RSA 4096

Se Windows viene infettato da CryptXXX RSA 4096 i documenti crittografati avranno l’estensione .crypt. Questo viene installato da un file .DLL, che cambia all’avvio di Windows. Possiede anche delle funzioni di stealer, ossia è capace di rubare le password contenute sul computer.

Come rimuovere RSA 4096 virus

Per eliminare qeusto virus è possibile tentare una disinfestazione tramite Malwarebytes Anti-Malware, antimalware molto efficace. Si consiglia di disinfettare il computer prima di utilizzare i documenti su di esso. Purtroppo il recupero dei documenti criptati dal virus RSA-4096, è necessario, per tanto, fare un backup preventivo.

Come accennato in alto, alcuni ceppi di questo virus possono rubare le password dopo la disinfezione, quindi è bene cambiate tutte le password web dopo un’infezione da virus RSA 4096. Inoltre, il virus può propagarsi attraverso mail dannose o WebExploit, perciò è bene fare molta attenzione: nel primo caso, alzando la guardia quando si aprono file zip e volendo, bloccando anche gli script Windows, come garanzia di protezione contro script dannosi o trojan e nel secondo caso, ovvero il WebExploit, aggiornare di sovente software e plug in (Java o Adobe Flash).

Image: © Martial Red – Shutterstock.com

Potrebbe anche interessarti :
Il documento intitolato « Virus RSA 4096 » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.