Cryptolocker: piaga del nuovo millennio. La soluzione finale.

cryptolockerDalla fine dello scorso anno, si sono moltiplicate le segnalazioni di tale virus che si sta diffondendo a larga scala. E’ la stessa Polizia Postale a segnalare la pericolosità di questo nuovo Virus, ritenuto la nuova piaga digitale del millennio.

Che cos’è Cryptolocker

E’ un Virus che appartiene alla categoria dei Ransomware, famiglia dei Malware. Come lo dice il nome stesso, Ransom = (In Linguaggio Inglese) Riscatto, diversamente altri virus che solitamente danneggiano e alterano i Sitemi Operativi, una volta attivati nell’infezione digitale, attivano un comando di Riscatto.

Come Funziona

Cryptolocker è a tutti gli effetti un Virus appartenente ai Trojans (Cavalli di Troia), che partono dalla loro infezione, criptando e modificando tutti (o in parte) i file dell’utente USERS dei sistemi Microsoft Windows. Dunque mette a rischio tutti i Documenti, Desktop, Musica, Foto Video e tutti quei collegamenti personali nei files della cartella di sistema, nella nostra macchina. Il tutto viene criptato generalmente utilizzando un algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit. Spesso i files originali vengono cancellati.

L’utente non conoscendo la chiave di decriptazione per ripristinare i files come in originale, non è in grado ne di leggere, eseguire, aprire nessun files personale di sistema. Per sbloccare la cifratura e ovviamente decriptare definitivamente i files, all’utente non rimane altro che versare un riscatto (tramite finestre di allerts) preposto dagli autori del virus e dell’infezione, solo tramite il pagamento di somme di denaro definite spesso in bitcoins (in modo che i flussi di denaro non possano essere rintracciati), i quali possono raggiungere quote anche di svariate migliaia di euro, dipende dalla mole di dati infetti. All’utente quindi viene rilasciata la chiave necessaria per decodificare i files “tenuti in ostaggio”.

cryptolocker-664x374

Canali di diffusione ed infezione.

Cryptolocker attacca principalmente i files della cartella personale dell’utente. Ma questo non accade se non viene eseguito comando diretto disposto dall’utente. Visionare quindi il file infetto da Ransomware non comporta pericolo, ma diventa pericoloso se viene eseguito o decompresso. Quindi per agire, distribuirsi e infettare sfrutta diversi canali di contagio:

allegati di messaggi email Spam o Phishing.
Molti ad esempio a riferimento di falsi ordini eseguiti da qualche sito e-commerce, o comunicazioni di false consegne dei corrieri più famosi a livello nazionale, opportunità di lavoro, comunicazioni amministrative da enti pubblici o governativi, recupero dati o credenziali di account ecc…
distribuzione di software pirata attraverso i più comini canali peer2peer (che spesso contengono malware)
utilizzo di vulnerabilità presenti nelle applicazioni, programmi o servizi web non aggiornati tempestivamente (Flash Player Java, ecc.).

Il Fenomeno Cryptlocker non è diffuso solo a livello mondiale attraverso la Rete, ma anche viene perpetrato attraverso attacchi hacker mirati, sfruttando tutti i canali di connessione possibili, tra i quali Darknet o Deepweb, punta dell’Iceberg del traffico che realmente circola nella rete.

Ad essere infettati maggiormente non sono solo i privati, ma il fenomeno coinvolge anche Enti, Aziende, PMI, Cooperative, grosse realtà commerciali ed in primis Istituzioni e Pubblica Amministrazione.

La soluzione Finale

C’è chi sostiene che per risolvere o liberarsi del riscatto e dell’infezione dei files di Cryptolocker o ransomware, non ci sia altra soluzione che procedere al pagamento per ottenere la chiave richiesta. Questo in virtù del fatto che le condizioni e la robustezza dell’algoritmo di criptazione RSA è molto solida, tanto che adoperandosi con metodi “Brute Force” per conto nostro, ci si impiegherebbe anche troppo tempo per poter decodificare una semplice stringa (dipende sempre dalla potenza di calcolo che abbiamo a disposizione).

L’utente in questo caso si trova in grossi disagi operativi che possano portarlo ad una soluzione definitiva. Anche se a metà dello scorso anno, grazie ad un’azione coordinata a livello internazionale, è stato possibile attivare un servizio web, gestito da altre società di decriptazione specializzate, anche in virtù degli stessi autori di Cryptolocker, consentono di servirsi di uno strumento on-line per ottenere la chiave di decriptazione. Purtroppo spesso come accade in questi casi si deve attendere del tempo, e sovente, nonostante gli sforzi perpetrati, potrebbe non funzionare in modo definitivo.

L’algoritmo RSA, come gli altri algoritmi asimmetrici, basa il suo funzionamento sull’utilizzo di una chiave privata e di una pubblica. Nel caso dei ransomware, la chiave pubblica viene conservata sul sistema dell’utente mentre quella privata viene mantenuta sui server degli sviluppatori. Ogni file crittografato con una chiave pubblica, può essere decodificato solamente da chi è in possesso della corrispondente chiave privata.

La difficoltà maggiore sta nel fatto che, gran parte dei sistemi Anti-Virus, non rilevano questo tipo di Ransomware se non dopo ormai che l’infezione risulta operativa.

Defending-CryptoLocker-SACA-BLOG

Che cosa fare se si è infetti da Ransomware Cryptlocker?

Le procedure che seguono possono essere buoni strumenti di disinfestazione da tale Virus ma non possono essere garantiti nella loro efficacia. Mantenere la calma e procedere per ordine, operando per tentativi:

1. Ottenere le copie Shadow del Sistema
La maggior parte dei sistemi operativi Windows, dalla Vista in poi, possiede uno strumento di recupero che consente di tentare di ripristinare i propri dati e funzionalità, in cronologia nelle versioni precedenti . Nel caso appunto il nostro sistema sia stato infettato, è possibile usufruire di questo strumento di recupero e ripristinare le versioni precedenti di Windows. Ma attenzione, questa funzione è possibile se all’installazione dell’OS è stata attivata questa funzionalità. Oltretutto attenzione, con l’evoluzione e mutazione del Virus di Cryptolocker potrebbe anche non funzionare perché, una volta infettato, il malware esegue anche il comando

Delete Shadows /All /Quiet

Provvedendo anche alla cancellazione della copie shadow del sistema e a tutte le precedenti versioni dei files dell’utente.

2. Ottenere la chiave di decriptazione in un modo o nell’altro.
Verificare quale versione di Ransomware ci ha infettati, se si ritiene che la chiave sia semplice di recuperare utilizzare alcuni dei tanti sistemi di “Brute Force e quindi ripristinare i files. Qualora l’operazione richieda troppo tempo, tentare di servirsi di quei tools e servizi on line, disponibile per la rete. Basta crcare la keyword “decryptcryptolocker” in Google oppure andare direttamente al sito https://www.decryptcryptolocker.com/ . Ovviamente il pagamento del riscatto non è la soluzione migliore.

3. Servirsi di altri Tools Removal.
Symantec ed altri colossi si sono prodigati per avviare alcune campagne di sviluppo di removal, che purtroppo generalmente non si sono rivelati molto efficaci http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99&tabid=3. A quanto pare prevenzione rimane l’unica soluzione ottimale.

Backup-dati

La prevenzione: unico strumento ottimale.

I software Anti-Virus e Anti-Malware spesso sono inefficaci, quindi è comprensibile non possano fare al caso nostro. È quindi impossibile pensare di proteggere i sistemi di un’azienda, di uno studio professionale o di un ente pubblico con gli antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali. Per ottemperare in maniera adeguata ad una corretta campagna preventiva, questi sono i punti essenziali da seguire:

 1. Impostare Backup Periodici su sistemi in rete NAS o unità removibili.
Il tutto va sistemato in dispositivi regolarmente protetti, in modo da permettere un ripristino pulito dei nostri dati nel caso si dovesse verificare un’infezione.

2. Usufruire della tecnologia VM (VMWare – Hyper-V, XenServer) o Cloud con versioning service.
Ove sia richiesta la versione e cronologia dei nostri files. Una soluzione ottimale per le pubbliche amministrazioni o altre strutture che adottano servizi Terminal, è quella di conformarsi ad uno standard di sicurezza per recuperare i dati in tempo reale, mantenendo varie versioni cronologiche dei files attraverso l’infrastruttura stessa.

3. Configurare la nostra Infrastruttura di rete in modo che permetta di ottenere il controllo diretto da parte nostra del traffico.
Un livello di priorità che pochi tengono in considerazione. E’ l’approccio migliore da sostenere, con il traffico della nostra infrastruttura di rete, che dev’essere configurata in modo centralizzato, in modo da consentire restrizioni e controlli mirati per ogni singolo dispositivo, workstation, server in grado di individuare pacchetti sospetti.

4. Fare attenzione alla comparsa UAC dei sitemi Windows.
Molti non ne tengono conto e assumono un atteggiamento disinteressato in merito.
Windows integra la funzionalità UAC (User Account Control): introdotta da Microsoft con il rilascio di Vista, si occupa della gestione dei permessi utente accordando quelli più elevati solamente su indicazione dell’utente stesso.

Le finestre di UAC che hanno intestazione di colore giallo e che recano il messaggio “Consentire al programma seguente (…) di apportare modifiche al computer?” sono quelle che debbono essere trattate con maggiore attenzione. Se non si fosse sicuri dell’identità e della legittimità del file che si è in procinto di eseguire, premere sempre il pulsante “No“.

Da ultimo, osserviamo che i ransomware provvedono a cifrare solamente file che hanno determinate estensioni (PDF, DOC, DOCX, ODT, XLS, XLSX, JPG, AVI,…). Rinominare i file con estensioni astruse (ad esempio .PROTEZ) può aiutare ad evitare il blocco da parte di Cryptoloker nel malaugurato caso in cui dovesse insediarsi sul sistema.

Un Virus in Mutazione

Al giorno d’oggi con la potenza di calcolo disponibile, i virus non rimangono mai isolati e si evolvono ed aggiornano, mutando effetto e sinapsi, ottenendo più varianti come Cryptowall o CBT-Locker, sfruttando sempre di più in modo massiccio le campagne di phishing.

L’Italia è al primo posto in Europa tra le nazioni bersagliate dai ransomware.

I dati appena pubblicati da Trend Micro sono sconvolgenti: nell’area europea l’Italia è la nazione più infettata in assoluto dai ransomware Cryptolocker e CrytpoWall.
L’escalation registrata tra settembre e novembre non può non essere motivo di preoccupazione: a settembre gli italiani infettati da ransomware erano poco più del 5% del totale (in testa c’erano Spagna, Regno Unito, Francia e Turchia); ad ottobre l’Italia è passata in prima posizione con il 17,3%; a novembre il nostro Paese è ancora primo con il poco incoraggiante primato che si rafforza ulteriormente al 31,2%.

Dati derivanti da: www.ilsoftware.it

 

Links Correlati

Gruppo Facebook per discussione nei Social
https://www.facebook.com/groups/506053642915900/

Articoli da parte di Antonello Rotolo:
http://www.antonellorotolo.it/2014/08/01/protocollo-usb-sicurezza-addio-ce-una-falla-enorme/
http://www.antonellorotolo.it/computer-infettati-dal-cryptolocker

Articolo recente del 12/02/2016
http://www.antonellorotolo.it/2016/02/12/altra-allerta-cryptolocker/

Rif. Ransomware Cryptlocker by Wikipedia:
http://it.wikipedia.org/wiki/CryptoLocker

Tools Decryptlocker on line:
https://www.decryptcryptolocker.com/

The Hacker News
Cryptolocker viaggia anche su Drive USB.
http://thehackernews.com/2014/01/Cryptolocker-malware-usb-drive-worm.html

Repubblica.it
CBT-locher metamorfosi di un rnsomware
http://www.repubblica.it/tecnologia/2015/01/30/news/malware_locker-106140946/

 

21 Responses to Cryptolocker: piaga del nuovo millennio. La soluzione finale.

  1. vincenzo ha detto:

    La strategia che ho adottato per prevenire i danni derivanti dal disastroso virus, è quella di tenere i dati,in un volume criptato all’interno del Pc, tale volume è inattaccabile dal virus.

    • andrea.patron ha detto:

      Giusto… Anche…
      L’idea è fattibilissima, purtroppo bisogna considerare il fatto che il 99% dell’utenza MS Windows non è in grado di creare volumi criptati da soli, se non appoggiandosi a soluzioni esterne, rispettando standard di utilizzo iposto da MS!!

    • Maui ha detto:

      Perche’ inattacabile?
      Se il virus e’ attivo, il disco e’ montato. l’acqua arrivera’ anche a quel mulino…… no?

      Poi se fai il discorso per lo piu’ e’ un backup sempre staccato e’ un’altra cosa…….

  2. Giovanni ha detto:

    Gran bell’articolo! Questo va dritto dritto tra i preferiti come how to, sin ora non ho avuto esperienza direttta con questo virus, ma sono curioso di analizzare i file in questione. COme sempre, prevenire e’ meglio di curare.

  3. Errico57 ha detto:

    Sono stato attaccato in modo totale su tutti i lavori fatti, principalmente sulle foto di famiglia. Qua si scrive dei danni che compie il virus ma non delle eventuali soluzioni. Aiutatemi….. non so come recuperare le foto che sono un pezzo importane della mia v.ita

    • andrea.patron ha detto:

      Unica soluzione è il Backup preventivo (nell’articolo è specificato)… non ne esistono altre!
      Per questo è denominato “Piaga”!!! E non siete il primo ne l’ultimo! Molte sono le aziende colpite…purtroppo!

    • Evasio ha detto:

      E’ poi riuscito a decriptare ? io ho lo stesso problema e non so che fare
      Mi fa sapere?

      • andrea.patron ha detto:

        Purtroppo non esistono procedure specifiche. Come descritto nell’articolo; attualmente la formula di decriptazione è ampiamente pesante se non dire quasi impossibile (dipendente dalla morfologia del virus). Il suggerimento che posso dare, e non solo a Lei ma a tutti, è inizialmente adottare misure di prevenzione come incentivato nell’articolo, ed evitare di affidarsi a presunte Aziende o Società, che villantano capacità di recupero dati, in grado di decriptare files attaccati da ransomware.

        Il confine tra realtà e fantascenza è davvero sottilissimo. In altre situazioni si possono benissimo trattare di Rimasticazioni Commerciali, volte a far leva sulle difficoltà concrete delle vittime.
        Tanti poi dicono di aver risolto con procedure poco chiare e comunque mai confermate a pieno successo. Il problema dei Cryptolocker è presente e tuttora dilagante, a causa della mancanza di buon senso degli utenti, nell’essere maldestri, specie nell’aprire email o Phishing provenienti da sconosciuti.

        Nei gruppi dei Social Network come Facebook, potete trovare ampie risposte ai vostri quesiti a conferma di quello che ho descritto nell’articolo.

        https://www.facebook.com/groups/163255840552023/

    • andrea.patron ha detto:

      Interssante è vedere la partecipazione limitata dela Polizia Postale a fronte di questa problematica, la quale non riesce nemmeno lei a garantire una tale copertura: “È importante non cedere al ricatto, anche perché non è certo che dopo il pagamento vengano restituiti i file criptati!”…

  4. Davide ha detto:

    Ma funziona ancora il sito https://www.decryptcryptolocker.com/?

    • andrea.patron ha detto:

      No! Almeno non per le ultime versioni morfologiche del virus. Fate soprattutto attenzione alle truffe commerciali, che parecchi millantano di riuscire a decryptare i file!! Spesso sono le stesse che immettono i virus nella Rete!

  5. gio ha detto:

    Se mi salvo i dati sulla cartella One Note, caricandoli poi in maniera da renderli un modalità di disponibilità on line, sarò al sicuro in caso di infezione?
    Stamattina ha preso cryptolocker mio padre e ho potuto vedere di persona che e’ una gran bella faccenda e vorrei tutelarmi.

    • andrea.patron ha detto:

      La tutela sta nella prevenzione, in questi frangenti!!
      Se vuoi sapere se la cartella One Note è immune oppure no dall’infezione, ti posso rispondere “No”, ma dipende sempre dalla versione del Cryptolocker e dalla sua morfologia. La soluzione è eseguire BK esterni su protocolli non legati a MS. Tali discussioni sono anche affrontate in questo Gruppo Facebook: https://www.facebook.com/groups/506053642915900/

  6. Giovanni ha detto:

    Una postazione collegata in una rete aziendale, dove l’utente che utilizzava tale postazione non aveva i diritti di amministratore, è stata infettata da Cryptloker. Come è stato possibile beccare il virus su questa postazione se solo l’amministratore di sistema, non l’utente che l’utilizzava, in quanto ci accedeva come “User” aveva i diritti per scaricare file ed installare programmi?

  7. GIOVANNI BORTOT ha detto:

    Aiuto!!! Nel mio PC 10 giorni fa è entrato questo virus CRYPTOLOCKER…Mi ha criptato tutti i ricordi degli ultimi 10 anni!!!! Mi appare un’icona su fondo nero in ogni cartella che mi invita a collegarmi a un sito per capire come ottenere la chiave! Grazie a chi potrà aiutarmi…

  8. andrea.patron ha detto:

    A riguardo ci scriverò un articolo, ma intanto posto il link, di un mio collega, con un commento: è ancora tutto da verificare! Attenzione a non cadere nelle bufale. I virus Cryptolockers sono Ransomware a tutti gli effetti, in continua e progressiva mutazione. Se ne decodificano di vecchi, ne arrivano tanti altri di nuovi indecifrabilii, e comunque senza arginare il problema in modo risolutivo.
    http://www.tomshw.it/news/fine-di-teslacrypt-autori-si-ritirano-e-consegnano-chiavi-77121

  9. Sandro ha detto:

    Ho letto con attenzione l’ articolo da Lei svolto. Sono stato infettato da virus .micro con criptazione RSA-4096 e istruzioni con file “help_recover_instructions+ugv” (che posso mandarglieli. Leggo su internet che qualcuno prospetta la soluzione: *********** o “********” ed ******** di ******* * ******. Soluzioni a detta di ***** trovata in questo mese. Per cortesia può dirmi che cosa ne pensa Lei? Grazie

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *