Tra la moltitudine di minacce informatiche in circolazione oggi, vorrei parlare di una delle peggiori, che in questo periodo sta colpendo svariati utenti. Si tratta di Cryptolocker, un trojan horse (cavallo di troia) in circolazione da fine 2013. Esso infetta i sistemi Windows e viene diffuso prevalentemente tramite mail, mascherato da file .pdf o da archivio .zip sfruttando una caratteristica di Windows che nasconde l’estensione dei file conosciuti. In pratica la mail viene ricevuta con un allegato del tipo fattura.pdf.exe oppure archivio.zip.exe ma, proprio a causa dell’appena menzionata caratteristica di Windows, nella maggior parte dei casi l’utente vede solo fattura.pdf o archivio.zip.
Se l’utente apre il file allegato l’infezione ha luogo immediatamente. Il trojan si installa sul PC e modifica il registro di sistema così da essere eseguito automaticamente all’avvio del computer. Una volta in esecuzione esso contatta un server remoto che genera una chiave RSA a 2048 bit inviando la chiave pubblica alla macchina infetta. A questo punto viene avviato un processo di crittografia dei dati presenti sul PC basandosi su questa chiave, processo che viene esteso ad unità di rete mappate, dischi esterni, memory stick, ecc. Una volta ultimata la fase di crittografia il trojan avverte l’utente che “il danno è fatto”, e richiede il pagamento di un riscatto per fornire la chiave privata per poter decifrare i file. La cifratura non interessa tutti i file del disco, ma solo quelli di tipo Office, delle suite opensource (Open Document), Autocad e altri tipi di documenti.
A questo punto, una volta compromessi, anche se si procedesse con la rimozione di Cryptolocker i dati resterebbero cifrati ed inutilizzabili, quindi se non si fosse in possesso di un backup consistente, l’unica alternativa sarebbe quella di pagare il riscatto (circa 300 euro). Per l’opzione di pagamento i criminali lasciano un lasso di tempo di alcune ore, solitamente 72 o 100 (3 o 4 giorni), entro le quali effettuare la transazione. In assenza di pagamento entro i termini ultimi la chiave privata viene eliminata dai cyber criminali, rendendo a tutti gli effetti impossibile decifrare i proprio dati.
Ci sono alcuni punti che vanno tenuti in grande considerazione, quando si parla di questo tipo di minaccia:
- Una volta infetti, se ancora in tempo, disconnettere immediatamente il PC dalla rete aziendale o domestica. Il processo di cifratura dei file infatti richiede del tempo e scollegandosi dal resto della rete si arginerebbero i danni;
- Per lo stesso motivo, una volta infetti disconnettere subito dal PC eventuali dischi esterni, memory stick, ecc.;
- Teniamo presente che i nostri dati non sono al sicuro nemmeno se residenti su un server centrale e non sul PC. Il trojan è infatti in grado di attaccare le unità di rete e quindi potrebbe arrivare a compromettere anche i dati del server;
- Avere un backup non ci mette al sicuro, a meno che non siano presi degli accorgimenti in tal senso. Poiché, come detto, vengono attaccati anche dispositivi di memorizzazione esterni, fare una ogni notte una copia dei nostri file di word su un disco esterno potrebbe non essere sufficiente, poiché anche la copia potrebbe venire cifrata.
- Servizi come DropBox o Google Drive non mettono i dati completamente al sicuro poiché una volta cifrati i file locali questi verrebbero sincronizzati con i servizi cloud. Bisognerebbe quindi ripristinare i file utilizzando la cronologia;
Una volta infetti, comunque, bisognerà decidere come comportarsi. In base a testimonianze raccolte in rete ci sono sia casi in cui l’utente pagante ha potuto recuperare i dati che casi opposti. Qualora si decidesse di non pagare le strada per poter recuperare i dati è una soltanto: avere un backup aggiornato e non compromesso (o avere attive le shadow copy sui volumi interessati). Non esiste infatti possibilità di decifrare i file con metodi di tipo brute force.
Per informazioni ulteriori su come affrontare un’infezione di Cryptolocker oppure come difendersi in modo preventivo contattatemi tramite blog oppure attraverso la pagina Facebook.
Buongiorno,
Vorrei un chiarimento, la scorsa settimana ho accidentalmente infettato il computer aziendale con cryptolocker, in realtà io non ho memoria di aver aperto mail, ma il log del mio PC esaminato dalla software house dimostra che l’ho fatto (anche se non ho potuto controllare personalmente)
In ogni caso l’infezione del mio PC a parte la criptazione del mio HD è entrata in rete alle 17.00 e ha criptato un certo numero di file, accortomi ho staccato immediatamente il cavo di rete e l’infezione si è fermata.
Il mio titolare ha acceso il suo PC alle 18.56 dopo l’orario di lavoro e l’infezione è ripresa infettando altri file e cryptando quasi totalemte il suo PC dropbox compreso.
Ora è possibile che gli unici due PC infetti siano stati il mio e il suo e gli altri PC che erano accesi alle 17.00 come mai non si sono infettati.
Non potrebbe essere che il mio titolare abbia avuto accesso al server exchange per verificare la mia posta e abbia riaperto la mail? Chiedo ciò perchè mi ritengogono responsabile del danno, danno per altro limitato, grazie ai backup (purtroppo non aggiornatissimi) e a un po’ di lavoro il server non ha subito danni rilevanti e anche i file di dropbox sono stati recuperati
La ringrazio se vorrà chiarirmi le idee e le invio un cordiale
Saluto
Angelo Gerroni
via Marco biagi 8
21040 gerenzano Varese
Ciao Angelo, ti risponderò via mail in quanto sarebbe utile approfondire.
A presto
Salve Andrea,
il 12 agosto il mio PC aziendale è stato infettato da Cryptolocker (non ho capito bene per quale motivo probabilmente navigando su internet). Non appena me ne sono accorto (mi è apparso un messaggio sia in formato txt che html che mi chiedeva un riscatto in cambio della chiave necessaria per decriptare i file. I file si chiamavano “COME_RECUPERARE_I_FILE.xxx”) ho disconnesso il PC e ho notato che solo una parte dei file erano stati criptati (solo quelli sul volume C:/ e non sul volume D:/). A quel punto ho fatto girare la mia versione di SpyHunter e SpyRegister. SpyHunter mi ha rilevato circa 97 infezioni nessuna delle quali con un nome simile a CryptoLocker. Ho dovuto riconnettere il PC alla rete perché SpyHunter alla fine della scansione me lo richiedeva. Comunque – in sintesi – dopo aver fatto girare più volte SpyHunter e SpyRegister e aver cancellato brutalmente dei file dal volume C:/ sospetti che erano stati modificati proprio il 12 agosto, il virus sembra ora bloccato (infatti non mi appare più la maschera che mi richiede il riscatto e non mi sembra che altri file siano criptati).
A questo punto vorrei porle due domande:
1) se l’antivirus aziendale OfficeScan di TrendMicro, SpyHunter non mi rilevano virus posso ritenere che il mio PC è “pulito”?
2) subito dopo essermi accorto che il PC era stato infettato ho collegato un HD al mio PC e ho salvato alcuni file di cui non avevo fatto il backup. Quei file residenti sul mio PC – ancora adesso – non sono criptati. Posso ritenerli “puliti” dopo aver preliminarmente fatto la scansione dell’HD con un antivirus aggiornato? Se il PC è da ritenere pulito potrei recuperare i file di cui non ho fatto il back-up…..
3) cryptolocker invia delle informazioni riservate al server remoto?
La ringrazio anticipatamente per la disponibilità. Se mi scrive alla mia mail privata possiamo scambiarci i contatti.
Saluti
Ciao Alex. Per esperienza ho visto che CryptoLocker, soprattutto nelle ultime versioni. è molto veloce. Se non rilevi file criptati da giorni, direi che la parte attiva del virus è stata debellata dai tuoi scanner.
Per quanto riguarda i file criptati, essi non sono “portatori di infezione” e quindi non sono pericolosi. Direi che se la situazione è tranquilla, come la descrivi, potresti ripristinare i tuoi file sul PC.
Per quanto riguarda le informazioni riservate, non ho notizie inerenti il loro furto tramite CryptoLocker, ma tieni presente che la minaccia è in evoluzione costante e quindi non si può mai sapere cosa faranno le nuove versioni. Tieni anche conto che, non di rado, le minacce vengono “assemblate” con dei pezzi di altre e quindi non è detto che CryptoLocker viaggi da solo, soprattutto se non sai come lo hai preso.
Un backup costante e affidabile dei tuoi dati è sempre l’arma migliore a disposizione.
Ciao, a presto