ATTENZIONE ! PERICOLO CRYPTOWALL E CRYPTOLOCKER

cryptolocker-preview

l’Italia è sotto attacco ransomware. Utenti privati così come studi professionali, piccole e medie imprese, grandi aziende, pubblica amministrazionehanno visto comparire un messaggio che di fatto informa circa la richiesta di un riscatto.

I tuoi file personali sono criptati“, “I tuoi file personali sono cifrati“, “I tuoi dati personali sono crittografati“, “Your personal files are encrypted“, sono i messaggi che possono comparire.

È l’effetto di un’infezione da ransomware, malware che infettano il personal computer e prendono in ostaggio l’intero sistema o gruppi di file (ransom in inglese significa “riscatto“).

I criminali informatici che hanno sviluppato Cryptolocker e CryptoWall chiedono il versamento di una somma a titolo di riscatto

 

Nelle ultime settimane, in Italia si stanno diffondendo alcune varianti dei noti ransomware Cryptolocker e CryptoWall. Anche la Polizia Postale li sengnala nel suo sito.

Si tratta di malware che non bloccano l’intero sistema ma che, una volta insediatisi sul personal computer, provvedono a crittografare tutti i file personali dell’utente.

 

Come funzionano i ransomware quali Cryptolocker e CryptoWall. Come difendersi

cryptolocker-logo

 

Cryptolocker e CryptoWall sono ransomware che presentano entrambi il prefisso “crypto” perché, diversamente rispetto a noti malware (virus Polizia di Stato, Guardia di Finanza, Polizia Postale, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Polizia Penitenziaria), non cercano di bloccare l’intero sistema quanto, piuttosto, mirano a provocare un danno ancora maggiore rendendo i dati dell’utente totalmente illeggibili. Documenti e file personali, infatti, vengono crittografati utilizzando una coppia di chiavi generate dinamicamente utilizzando l’algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit.

Non conoscendo la chiave per sbloccare i file codificati da Cryptolocker e CryptoWall, l’utente non può più aprire alcun file personale.

A fronte della fornitura della chiave di sblocco, gli sviluppatori dei due ransomware invitano l’utente a versare una somma in denaro (tipicamente fino a 800 dollari/euro). Pagando il riscatto viene promessa all’utente la fornitura della passphrase che permetterà di decodificare tutti i suoi file.

Cryptolocker e le sue varianti

Nel caso delle prime varianti di Cryptolocker, gli utenti hanno potuto rimettere le mani sui loro file, senza pagare alcun riscatto, utilizzando un servizio come Decrypt Cryptolocker. A metà di quest’anno, infatti, grazie ad un’azione coordinata a livello internazionale, è stato possibile “tagliare le gambe” alla botnet che è servita da infrastruttura per il funzionamento di Cryptolocker. Grazie ai database di chiavi private rilevati sui sistemi utilizzati dagli sviluppatori di Cryptolocker si è potuto allestire un servizio online che ha dato modo, a migliaia di utenti, di recuperare comodamente i propri file.

Crittografia asimmetrica e algoritmo RSA

Più di recente, hanno iniziato però a circolare varianti di Cryptolocker ancora più pericolose. CryptoWall e le sue varianti hanno così raccolto l’eredità di Cryptolocker rendendo questa volta totalmente irrecuperabili i file cifrati.

L’algoritmo crittografico alla base del funzionamento di Cryptolocker e CryptoWall non è infatti assolutamente in discussione. L’algoritmo RSA, come gli altri algoritmi asimmetrici, basa il suo funzionamento sull’utilizzo di una chiave privata e di una pubblica.
Nel caso dei ransomware, la chiave pubblica viene conservata sul sistema dell’utente mentre quella privata viene mantenuta sui server degli sviluppatori.
Ogni file crittografato con una chiave pubblica, può essere decodificato solamente da chi è in possesso della corrispondente chiave privata.
Nel caso di specie, gli autori di Cryptolocker e “dei suoi fratelli” forniscono all’utente la chiave privata solamente dopo il versamento della quota di riscatto. Nel caso in cui l’utente non provvedesse, la chiave privata viene definitivamente cancellata dopo alcuni giorni rendendo i file definitivamente irrecuperabili (restano perennemente crittografati sul sistema dell’utente).

L’algoritmo RSA non ha mostrato debolezze intrinseche e non è quindi possibile sfruttare una sua vulnerabilità per decifrare i file crittografati dai ransomware.
RSA, infatti, è basato sull’elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è un’operazione molto lenta che richiede un impegno notevole in termini di risorse hardware). RSA-2048 e RSA-4096 (algoritmo RSA con l’utilizzo di chiavi a 2048 e 4096 bit) non sono stati fattorizzati e non lo saranno ancora, presumibilmente, per molti anni, anche considerando i progressi che si stanno facendo nell’ottimizzazione delle risorse computazionali (si pensi alla potenza di calcolo messa a disposizione da molti servizi cloud).

Recupero dei file attraverso l’utilizzo delle copie shadow

Heavy chain with a padlock around a laptop

L’unico strumento, integrato nelle versioni più recenti di Windows, che consente di tentare il ripristino dei propri dati è la funzionalità Versioni precedenti.

Grazie a “Versioni precedenti” e Shadow copy, si potrà provare a ripristinare le copie dei file memorizzati in numerose cartelle e comunque nella directory Documenti.
In alternativa è possibile ricorrere al programma gratuito Shadow Explorer.

Nel caso in cui il proprio sistema fosse stato infettato, il primo suggerimento è quello di verificare se fossero disponibili le cosiddette shadow copies dei propri file.

Per stabilirlo, basta cliccare con il tasto destro del mouse, ad esempio, in un’area libera all’interno della cartella Documenti di Windows, cliccare su Proprietà quindi su Versioni precedenti.

Le ultime varianti di Cryptolocker/CryptoWall, però, una volta insediatesi sul sistema dell’utente provvedono a cancellare tutte le copie shadow dei file rendendo irrecuperabili versioni precedenti, non crittografate, dei medesimi file.
Il malware adesso provvede in genere ad eseguire il comando Delete Shadows /All /Quiet cancellando tutte le precedenti versioni dei file dell’utente.

Cosa fare in caso di infezione da Cryptolocker o CryptoWall

Il primo controllo consiste nel verificare con quale versione del ransomware si ha a che fare. Capire se estistano ancora copie shadow dei propri file sul sistema consente ad esempio di stabilire immediatamente se si abbia a che fare con una delle varianti più vecchie oppure con una delle più recenti e pericolose.

Il riscatto viene sempre richiesto in Bitcoin in modo che i flussi di denaro non possano essere tracciati e non permettano di risalire velocemente al “burattinaio” di Cryptolocker/CryptoWall. L’assenza di un ente centrale (la rete Bitcoin si basa su di un’architettura peer-to-peer) rende impossibile bloccare certe transazioni o sequestrare monete virtuali.

Pagare il riscatto non è certamente la miglior soluzione ma è purtroppo, al momento, l’unica che generalmente dà modo di riprendere il controllo dei propri file.
Abbiamo scritto “generalmente” perché gli autori dei ransomware non hanno alcun interesse a mantenere crittografati i file degli utenti. Se si diffondesse la notizia che il pagamento del riscatto non sortisce l’effetto sperato, nessun altro utente invierebbe più denaro, sotto forma di Bitcoin, agli sviluppatori di Cryptolocker/CryptoWall.
Ovviamente, l’adozione di politiche di backup dei dati adeguate consentiranno di ripristinare i propri file senza pagare alcunché.

 

Come difendersi da Cryptolocker e CryptoWall

difendersi-da-cryptolocker

Il semplice software antimalware, spesso, non è sufficiente per proteggersi dalle più recenti versioni dei ransomware.
Gli autori dei malware, infatti, immettono spesso in rete nuove varianti che sempre più di frequente passano del tutto inosservate ai motori di scansione antivirus più famosi.
Possono trascorrere quindi diverse ore dal momento del primo rilascio in Rete del ransomware (e dal verificarsi delle prime infezioni) all’effettivo aggiornamento delle firme virali utilizzate dai vari prodotti antivirus ed antimalware.

È quindi impossibile pensare di proteggere i sistemi di un’azienda, di uno studio professionale o di un ente pubblico con gli antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali.

Da parte nostra, suggeriamo quindi di:

1) Impostare backup periodici dei propri dati su unità rimovibili, server NAS o server di rete. In ogni caso, però, l’accesso al supporto utilizzato per il backup deve essere adeguatamente protetto (almeno attraverso l’utilizzo di credenziali d’accesso). Nel caso in cui si dovesse verificare un’infezione, il ransomware non deve essere in grado di crittografare anche le copie di backup dei documenti.

2) Se si utilizzano servizi cloud per lo storage dei dati, accertarsi di ricorrere a servizi che offrono il versioning ossia che memorizzano le varie versioni dello stesso file (Google Drive e Dropbox, ad esempio, supportano il versioning).
Particolare attenzione dovrebbe essere riposta nel caso in cui si fosse installato il software client del servizio cloud: attivando la sincronizzazione dei dati memorizzati in locale, nel caso in cui il ransomware dovesse crittografarli, anche le copie conservate sulla nuvola potrebbero diventare illeggibili. Da qui l’importanza cruciale del versioning.
Anche nel caso in cui il servizio cloud supportasse il versioning, è comunque bene controllare per quanto tempo le precedenti versioni degli stessi file vengono mantenute.

3) Utilizzare, ove possibile, un sistema di protezione che agisca a livello centralizzato, che sia basato sull’intelligenza collettiva, che permetta di impostare restrizioni adeguate a livello delle singole workstation e che sia capace di individuare e-mail ed allegati altrettanto sospetti.

4) Utilizzare un’applicazione come HitmanPro.Alert che, tra le varie funzionalità, integra alcuni algoritmi capaci di rilevare per tempo le operazioni messe in campo dai malware e dai ransomware più pericolosi.
Compatibile con i sistemi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2, HitmanPro.Alert è scaricabile cliccando qui.

5) I ransomware come Cryptolocker e CryptoWall si diffondono utilizzando diversi canali:
– allegati a messaggi truffaldini ricevuti via e-mail (facenti riferimento, ad esempio, a false consegne dei corrieri più famosi a livello nazionale ed internazionale; ad opportunità di vincita/lavoro; a falsi pagamenti da regolarizzare…)
– software famosi distribuiti attraverso i vari circuiti peer-to-peer (che in realtà contengono il malware)
– utilizzo di vulnerabilità presenti nelle versioni più vecchie dei plugin per il browser (esempio: Flash Player o Java)

È quindi importante mantenere sempre aggiornato il browser web e tutti i plugin installati; usare la massima attenzione prima di aprire un allegato di un’e-mail; astenersi dal download di applicazioni potenzialmente pericolose.

Attenzione alla comparsa delle finestre UAC in Windows ed alle autorizzazioni concesse ai file eseguibili

Windows integra la funzionalità UAC (User Account Control): introdotta da Microsoft con il rilascio di Vista, si occupa della gestione dei permessi utente accordando quelli più elevati solamente su indicazione dell’utente stesso.
Le finestre di UAC che hanno intestazione di colore giallo e che recano il messaggio “Consentire al programma seguente (…) di apportare modifiche al computer?” sono quelle che debbono essere trattate con maggiore attenzione. Se non si fosse sicuri dell’identità e della legittimità del file che si è in procinto di eseguire, premere sempre il pulsante “No“.

Da ultimo, osserviamo che i ransomware provvedono a cifrare solamente file che hanno determinate estensioni (PDF, DOC, DOCX, ODT, XLS, XLSX, JPG, AVI,…). Rinominare i file con estensioni astruse (ad esempio .PROTEZ) può aiutare ad evitare il blocco da parte di CryptoWall nel malaugurato caso in cui dovesse insediarsi sul sistema.

Anche l’utilizzo di policy di sistema che impediscano l’avvio di programmi dalle directory temporanee di Windows (spesso utilizzate quando si apre un allegato di un messaggio di posta) può risultare particolarmente utile.

L’utilizzo di un server DNS alternativo, come quello di OpenDNS, può contribuire a bloccare proattivamente la diffusione di nuovi ransomware.

Italia al primo posto in Europa tra le nazioni bersagliate dai ransomware

Cryptolocker

I dati appena pubblicati da Trend Micro sono sconvolgenti: nell’area europea l’Italia è la nazione più infettata in assoluto dai ransomware Cryptolocker e CrytpoWall.
L’escalation registrata tra settembre e novembre non può non essere motivo di preoccupazione: a settembre gli italiani infettati da ransomware erano poco più del 5% del totale (in testa c’erano Spagna, Regno Unito, Francia e Turchia); ad ottobre l’Italia è passata in prima posizione con il 17,3%; a novembre il nostro Paese è ancora primo con il poco incoraggiante primato che si rafforza ulteriormente al 31,2%.

I ransomware sfruttano campagne phishing

Ultimamente le varianti di Cryptolocker/CryptoWall si stanno presentando sotto forma di false comunicazioni apparentemente provenienti dai più famosi corrieri espresso italiani. Si tratta di un attacco phishing in grande stile che cerca di trarre in inganno gli utenti meno attenti.
In calce a questa pagina, alcune immagini raffigurano i messaggi spediti dagli autori del malware.
L’e-mail più diffusa sembra provenire dal corriere espresso SDA (ovviamente si tratta di una comunicazione del tutto fasulla) e reca il testo seguente: “Il vostro pacchetto con codice di spedizione (…) è arrivato (…) Stampare l’etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto“.

crypto-emea12sda-fake1 sda-fake2

 

 

ATTENZIONE ! PERICOLO CRYPTOWALL E CRYPTOLOCKER
ultima modifica: 2015-02-19T08:05:15+00:00
da admin

About the Author: admin