Recentemente si sta diffondendo a macchia d’olio un virus che attraverso una mail insidiosa e ben congegnata inganna ignari e malcapitati utenti. Si presenta con un testo un po’ confuso che fa riferimento ai dei prodotti che sono stati restituiti e per i quali si riceverà un rimborso di xxxx € euro. Il virus non è ovviamente nel testo della mail ma nel file allegato contenuto che si presenta con estensione .zip o .cab

Schermata 2015-01-28 alle 15.52.07fig. 1

Quando il virus entra in funzione, inizia a crittografare tutti i documenti (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.

Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin.

CTB-Lockerfig. 2

Dopo il pagamento del riscatto, a loro dire, dovrebbe iniziare il processo di decriptazione dei file.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi potrebbero essere peggiorativi.

Il metodo di diffusione di questo virus è stato decisamente ben congegnato infatti arriva attraverso una mail apparentemente innocua, che magari riguarda una fattura o un ordine e quindi si è portati a credere che la comunicazione possa essere autentica.
Come anticipato, questa email contiene un allegato con un nome verosimile e poiché i sistemi operativi Microsoft di default, nascondono l’estensione del file, a un utente dall’occhio poco esperto può capitare di credere che davvero sia un PDF o uno ZIP. Una volta cliccato, tutti i file vengono in breve tempo criptati senza possibilità di fermare questo processo.
Appena installatosi, come prima cosa il virus ricerca un server di riferimento che lo istruisca su cosa fare e come cifrare i dati. Ovviamente questi server non hanno locazioni determinabili altrimenti sarebbe facile identificarli e renderli innocui.

Ma cosa si può fare una volta preso il virus?

Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare.

IMG_0385fig. 3

La prima cosa da fare è scollegare immediatamente il sistema infetto dal resto della rete, compresi dispositivi di memoria collegati come chiavi usb o dischi di backup in quanto CryptoLocker si propaga attraverso le unità mappate in rete (tranne gli share UNC, del tipo \\nome_server\condivisione).

Attualmente gli antivirus si stanno adottando per bloccare questo genere di infezioni e comunque non sarebbe una buona idea lanciare una scansione antivirus dopo l’infezione con CryptoLocker, anche perché gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati. senza possibilità di recupero dei dati. Occorre considerare anche il fatto che presentandosi come una vera e propria truffa non si ha certezza, nonostante il pagamento del riscatto, dell’ottenimento della chiave di decapitazione e quindi del recupero dei documenti criptati. Per questo alcune versioni di CryptoLocker hanno previsto di inserire come sfondo del desktop l’immagine, mostrata in fig. 2, che mostra in ogni caso le istruzioni di come operare e invita a scaricare un file, il quale permette di decriptare i file nonostante la rimozione del tool originale che consente questa operazione ma che di fatto è un virus.

Pertanto se si optasse, per disperazione, al pagamento del riscatto di qualche centinaio di euro tra l’altro entro i tempi stabiliti dal programma altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale. I sistemi di pagamento sono BitCoin e MoneyPack che per definizione hanno transazioni sicure ma non rintracciabili, pertanto tutti i tentativi di individuare gli autori di CryptoLocker sono vani.

Vediamo allora quali le azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker.
Innanzi tutto fare il backup, su dispositivi esterni, perché il virus riesce a passare sui dischi di rete solo se sono mappati e non attraverso la rete in generale. Altra condizione è quella di avere disponibili i file off-line sul nostro sistema Windows, in questo link puoi avere maggiori informazioni su come attivarli. In questo caso avendo versioni recenti e precedenti all’evento deleterio, potete recuperare la maggior parte dei vostri dati almeno fino all’ultimo punto di ripristino. Il consiglio è quello di attribuire una percentuale del disco adeguata alla mole dei vostri dati altrimenti potreste non comprenderli tutti in questo processo di replica. Altra cosa importate è quella di operare al recupero immediatamente, appena ci si rende conto dell’accaduto in quanto si rischia che i dati criptati vengano anch’essi replicati tra gli off-line files.

In un ambiente strutturato di un sistema informativo, dove presente un dominio di Active Directory, si possono inoltre implementare policy centralizzate per inibire l’esecuzione di certi eseguibili: in questo modo l’eventuale esecuzione di CryptoLocker verrebbe bloccata.

Alessandro Bonu
Latest posts by Alessandro Bonu (see all)