CryptoVirus cripta i nostri dati chiedendo soldi per decriptarli

CryptoVirus cripta i nostri dati chiedendo soldi per decriptarliSono i virus di nuova generazione. Evoluti e sofisticati. Codici che attivandosi sul nostro computer cifrano i file e li rendono inaccessibili.

Per la restituzione è necessario pagare un “riscatto” attraverso un pagamento in BitCoin, la moneta elettronica non tracciabile e difficile da munirsene in tempi rapidi, e più si tarda a pagare il riscatto e più aumenta la richiesta di denaro fino a pagare migliaia di euro. Non ci sono, al momento, soluzioni certe per recuperare le proprie informazioni colpite se non dietro un pagamento.

Seriamente preoccupante e decisamente da non sottovalutare. Ma procediamo con ordine.

Fino a qualche anno fà circolava, un Malware (attacco da software) che, attraverso una schermata, con tanto di logo della Polizia Postale o Guardia di Finanza, bloccava le funzionalità del PC e chiedeva un pagamento di un centinaio di euro, attraverso carta di credito, per sbloccare il computer. Infine, per intimorire l’utente, si asseriva falsamente che il pc conteneva materiale pedopornografico e se non avveniva il pagamento si procedeva con le indagini. Ovviamente non funziona cosi con le forze dell’ordine.

Quel tipo di attacco, o frode che dir si voglia, era un attacco di tipo Ransomware ovvero un tipo di attacco che blocca qualcosa e chiede un riscatto. Ma quello appena descritto non era grave e non aveva conseguenze significative. Era semplice da eliminare, in quanto composto da una immagine che appariva per la richiesta del riscatto e la disabilitazione di gran parte delle funzionalità di windows (per i più tecnici GPO Group Policy Object e chiavi di registro di sistema). Insomma di facile soluzione e permetteva di sbloccare il pc in qualche minuto. E fin qui ci andava bene.

La nuova generazione di attacchi Ransomware ovvero di tipo CryptoVirus fa davvero paura! Si ripropongono aggressivi ed evoluti più che mai. Attaccano il pc utilizzando tecniche di crittografia con chiave pubblica e privata RSA a 2048 bit. In poche parole se non si possiede la chiave di decrittografia è impossibile aprire i file. E che non si pensi che nostro cugino o un nostro amico, bravissimo al computer, possa riuscirci. Questa è roba seria e non si scherza.

Il primo attacco significativo di tipo CryptoVirus (in realtà non è virus ma un Trojan) appare alla fine del 2013, sebbene già a giugno 2013 la McAfee avesse dichiarato di aver raccolto 250.000 campionature di Ransomware, e prende il nome di CryptoLocker, il quale riuscì ad estorcere qualche milione di dollari prima che si procedesse ad arrestare l’autore.

Sulla scia di CryptoLocker, da allora, fanno la loro apparizione dozzine e dozzine di inefficaci emulazioni, ma programmare un attacco raffinato del genere ci vogliono menti geniali, come l’ultimo attacco da pochi mesi in circolazione e che prende il nome di CryptoWall. Ancora più aggressivo di Cryptolocker. Oltre a sequestrare i dati chiede il pagamento in BitCoin la moneta elettronica che, oltre a non poter essere tracciabile fino in fondo, non è affatto facile reperire in breve tempo. E il tempo gioca brutti scherzi agli sfortunati utenti. Infatti per poter avere la chiave per decifrare i dati bisogna pagare dai 400 ai 700 Euro entro 3-5 giorni altrimenti la cifra aumenta giorno dopo giorno e considerando che per ottenere dei bitcoin, per chi ci riesce, possono volerci anche settimane. Bella storia no? Ma il pericolo è reale e per trovare soluzioni concrete ed efficaci sono attualmente coinvolte istituzioni internazionali e ricercatori di tutto il mondo.

Come avviene l’attacco

Come per tutte le minacce alla sicurezza informatica i cryptovirus attaccano attraverso i più comuni metodi. Ovvero con l’apertura di un file allegato ad una mail di dubbia provenienza, navigando in rete, utilizzando chiavette usb e tantissime altre modalità.

Tecnicamente avviene attraverso un (Trojan) software nascosto da qualche parte e posizionato nel nostro pc magari attraverso un download di un brano mp3, video, pdf, zip e cosi via. L’attacco può avvenire, inconsapevolmente, anche attraverso una mail ricevuta da una persona o una azienda conosciuta, a loro volta vittime di attacchi idonei ad impossessarsi della loro identità e propagare l’infezione.

Come funziona un Cryptovirus

Appena si attiva, il cryptovirus, per prima cosa installa un certificato di crittografia e comincia a cifrare tutti i file contenuti nell’hard disk, nelle unità di rete collegate e in tutte le periferiche di memorizzazione che sono collegate al computer. I primi file ad essere attaccati sono i punti di ripristino presenti nel pc e le chiavi di registro del sistema e successivamente tutti i file di produttività compreso i documenti di Office, pdf, foto, musica e video.

L’operazione comunque non avviene in pochi istanti ma in modo graduale per via del processo di cifratura che richiede qualche ora. Via via che i file e le cartelle vengono cifrate e rese illeggibili vengono creati, all’interno delle cartelle cifrate e nella root dell’unità, alcuni file di controllo del virus. Questi file (3 file nascosti) di cui uno di tipo html, permettono al pc di collegarsi e comunicare con dei server sulla rete internet per fare da tramite per le operazioni di richiesta riscatto ed eventuale rilascio della chiave di decifratura che, da testimonianze di chi ha pagato, non sempre pare funzioni.

Come si elimina

Il problema, in questo caso, non è eliminarlo. Il problema è quali e quanti danni ha procurato. Se si dovesse allagare casa nostra il problema non è risolto chiudendo semplicemente il rubinetto, ma i danni che ha procurato l’allagamento. Per eliminarlo potrebbe bastare un buon Antivirus aggiornato o un malware scanner ma non è sufficiente a mitigare i danni. I file rimangono cifrati e non si possono aprire in nessun modo. E, credetemi, per il tipo di tecnologia utilizzata è cosi. E se qualcuno è riuscito a recuperare i dati è solo perché ancora, necessitando di tempo la cifratura, questi file non erano stati processati dall’attacco.

Come ci si difende

Per difendersi è necessario distinguere l’attacco in due fasi:

Prima dell’attacco

Per evitare l’attacco è fondamentale attivare tutte le protezioni che abbiamo a disposizione più il buon senso nelle nostre azioni.

1) Effettuare periodicamente un backup (salvataggio) di tutti i vostri file su un CD, DVD, Hard Disk esterni, Memorie e cosi via e custodirli con cura i un luogo sicuro.

2) Tenere aggiornato il sistema operativo ( Windows Update).

3) Tenere attivato il Firewall di Windows e del Router se connessi alla rete.

4) Tenere attivato Windows Defender.

5) Installare ed aggiornare periodicamente un buon Antivirus.

6) Evitare di aprire gli allegati della posta elettronica se non conoscete il mittente.

7) Tenere attivato il Windows Controllo Utente.

8) Evitare di effettuare download di foto, video, musica da siti sconosciuti soprattutto se Gratis.

9) Fare in modo che tutte le chiavette usb, le memorie e i dischi esterni vengano controllati dall’antivirus appena collegati.

10) Evitare di collegare alla rete pc, tablet, smartphone e altro che non siano provvisti di sistemi Antivirus o sicurezza idonea.

Dopo l’attacco

1) Purtroppo a causa dell’evoluta e complessa architettura, nonchè allo scopo dell’attacco, esso agisce in sordina e non è facile accorgersi immediatamente. Tuttavia all’apertura di un file già cifrato apparirà una finestra che comunica che il file non si può aprire se non dietro il pagamento della congrua somma di denaro con le indicazioni di pagamento.

2) Appena certi dell’infezione è necessario spegnere immediatamente il pc.

3) NON collegare chiavette usb, memorie o dischi esterni contenenti tool per la rimozione in quanto ne verrebbe anche cifrato il contenuto.

4) Estrarre fisicamente dal PC infetto le unità disco e successivamente estrapolare dall’esterno i file ancora integri.

5) NON cercare di forzare l’apertura dei file. Si peggiorerebbero le cose e si perderebbe solo tempo.

6) Nel caso, saggiamente, vi troviate una copia di backup dei vostri dati sarà sufficiente formattare il pc infetto e reinstallare il sistema operativo su nuova partizione.

7) Chiedete consiglio e affidatevi a tecnici esperti e preparati in sicurezza informatica.

8) Se l’attacco non ha procurato seri danni tirate un sospiro di sollievo e adottate le misure di cui sopra.

9) Se l’attacco ha procurato forti e gravi danni presentare esposto denuncia agli uffici di Polizia Postale o Carabinieri

10) Pagare il riscatto (opzione non consigliata in quanto spesso la chiave fornita non è idonea)

Qualche tentativo per recuperare i file crittografati:

Molti siti pubblicizzano utility e software in grado di decifrare e recuperare i dati ma nella gran parte dei casi
hanno solo lo scopo di vendere tali programmi e in alcuni casi effettivamente sono in grado di recuperare i file ma solo ed esclusivamente quelli cancellati o danneggiati per altri motivi e NON per la crittografia.

Probabilmente usciranno sul mercato delle utility che saranno in grado di recuperare i file crittografati ma ci vorrà tempo. Come per i software antivirus molte aziende saranno in grado di realizzare utility efficaci sulla base di studi approfonditi sulle chiavi di crittografia utilizzate per effettuare gli attacchi, tuttavia tali attacchi si manifestano con nuove varianti e per tale motivo ci vorrà molto tempo per decifrare ogni singola chiave di cifratura.

Un ulteriore tentativo per recuperare i file può essere fatto attraverso la procedura delle Copie Shadow di Windows in cui parlo ampiamente in questo articolo.

Altra possibilità di recupero può essere effettuata attraverso questo tutorial in cui consiglio un valido tool messo a disposizione dai laboratori di Kaspersky Lab

Voglio precisare che i suggerimenti elencati in questo tutorial, prima e dopo le fasi dell’attacco sono indicati per una postazione stand alone o di rete di tipo Workgroup. Per le infrastrutture di rete Server-Client con domini Active Directory sono necessarie ulteriori modalità e procedure avanzate, oltre ad apparati hardware, per garantirne la sicurezza.

No abbassare mai la guardia!

La redazione di ECplanet consiglia questi link dai quali si possono scaricare due utilissimi programmini gratuiti:

Norton Power Eraser

CryptoPrevent

Programma fortemente consigliato:

Shadow Defender (sito ufficiale). La recensione di HTML.IT

Autore: Antonio Parisi / Fonte: antonioparisi.it