CryptoVirus cripta i nostri dati chiedendo soldi per
decriptarli
21 maggio 2016
Sono i virus di nuova generazione. Evoluti e sofisticati.
Codici che attivandosi sul nostro computer cifrano i file e li rendono
inaccessibili.
Per la restituzione è necessario pagare un “riscatto”
attraverso un pagamento in BitCoin, la moneta elettronica non tracciabile e
difficile da munirsene in tempi rapidi, e più si tarda a pagare il riscatto e
più aumenta la richiesta di denaro fino a pagare migliaia di euro. Non ci sono,
al momento, soluzioni certe per recuperare le proprie informazioni colpite se
non dietro un pagamento.
Seriamente preoccupante e decisamente da non
sottovalutare. Ma procediamo con ordine.
Fino a qualche anno fà circolava, un Malware (attacco da
software) che, attraverso una schermata, con tanto di logo della Polizia
Postale o Guardia di Finanza, bloccava le funzionalità del PC e chiedeva un
pagamento di un centinaio di euro, attraverso carta di credito, per sbloccare
il computer. Infine, per intimorire l’utente, si asseriva falsamente che il pc
conteneva materiale pedopornografico e se non avveniva il pagamento si
procedeva con le indagini. Ovviamente non funziona cosi con le forze
dell’ordine.
Quel tipo di attacco, o frode che dir si voglia, era un attacco
di tipo Ransomware ovvero un tipo di attacco che blocca qualcosa e chiede un
riscatto. Ma quello appena descritto non era grave e non aveva conseguenze
significative. Era semplice da eliminare, in quanto composto da una immagine
che appariva per la richiesta del riscatto e la disabilitazione di gran parte
delle funzionalità di windows (per i più tecnici GPO Group Policy Object e
chiavi di registro di sistema). Insomma di facile soluzione e permetteva di
sbloccare il pc in qualche minuto. E fin qui ci andava bene.
La nuova generazione di attacchi Ransomware ovvero di
tipo CryptoVirus fa davvero paura! Si ripropongono aggressivi ed evoluti più
che mai. Attaccano il pc utilizzando tecniche di crittografia con chiave
pubblica e privata RSA a 2048 bit. In poche parole se non si possiede la chiave
di decrittografia è impossibile aprire i file. E che non si pensi che nostro
cugino o un nostro amico, bravissimo al computer, possa riuscirci. Questa è
roba seria e non si scherza.
Il primo attacco significativo di tipo CryptoVirus (in
realtà non è virus ma un Trojan) appare alla fine del 2013, sebbene già a
giugno 2013 la McAfee avesse dichiarato di aver raccolto 250.000 campionature
di Ransomware, e prende il nome di CryptoLocker, il quale riuscì ad estorcere qualche
milione di dollari prima che si procedesse ad arrestare l’autore.
Sulla scia di CryptoLocker, da allora, fanno la loro
apparizione dozzine e dozzine di inefficaci emulazioni, ma programmare un
attacco raffinato del genere ci vogliono menti geniali, come l’ultimo attacco
da pochi mesi in circolazione e che prende il nome di CryptoWall. Ancora più
aggressivo di Cryptolocker. Oltre a sequestrare i dati chiede il pagamento in
BitCoin la moneta elettronica che, oltre a non poter essere tracciabile fino in
fondo, non è affatto facile reperire in breve tempo. E il tempo gioca brutti
scherzi agli sfortunati utenti. Infatti per poter avere la chiave per decifrare
i dati bisogna pagare dai 400 ai 700 Euro entro 3-5 giorni altrimenti la cifra
aumenta giorno dopo giorno e considerando che per ottenere dei bitcoin, per chi
ci riesce, possono volerci anche settimane. Bella storia no? Ma il pericolo è
reale e per trovare soluzioni concrete ed efficaci sono attualmente coinvolte
istituzioni internazionali e ricercatori di tutto il mondo.
Come avviene l’attacco
Come per tutte le minacce alla sicurezza informatica i
cryptovirus attaccano attraverso i più comuni metodi. Ovvero con l’apertura di
un file allegato ad una mail di dubbia provenienza, navigando in rete, utilizzando
chiavette usb e tantissime altre modalità.
Tecnicamente avviene attraverso un (Trojan) software
nascosto da qualche parte e posizionato nel nostro pc magari attraverso un
download di un brano mp3, video, pdf, zip e cosi via. L’attacco può avvenire,
inconsapevolmente, anche attraverso una mail ricevuta da una persona o una
azienda conosciuta, a loro volta vittime di attacchi idonei ad impossessarsi
della loro identità e propagare l’infezione.
Come funziona un Cryptovirus
Appena si attiva, il cryptovirus, per prima cosa installa
un certificato di crittografia e comincia a cifrare tutti i file contenuti
nell’hard disk, nelle unità di rete collegate e in tutte le periferiche di
memorizzazione che sono collegate al computer. I primi file ad essere attaccati
sono i punti di ripristino presenti nel pc e le chiavi di registro del sistema
e successivamente tutti i file di produttività compreso i documenti di Office,
pdf, foto, musica e video.
L’operazione comunque non avviene in pochi istanti ma in
modo graduale per via del processo di cifratura che richiede qualche ora. Via
via che i file e le cartelle vengono cifrate e rese illeggibili vengono creati,
all’interno delle cartelle cifrate e nella root dell’unità, alcuni file di controllo
del virus. Questi file (3 file nascosti) di cui uno di tipo html, permettono al
pc di collegarsi e comunicare con dei server sulla rete internet per fare da
tramite per le operazioni di richiesta riscatto ed eventuale rilascio della
chiave di decifratura che, da testimonianze di chi ha pagato, non sempre pare
funzioni.
Come si elimina
Il problema, in questo caso, non è eliminarlo. Il
problema è quali e quanti danni ha procurato. Se si dovesse allagare casa
nostra il problema non è risolto chiudendo semplicemente il rubinetto, ma i
danni che ha procurato l’allagamento. Per eliminarlo potrebbe bastare un buon
Antivirus aggiornato o un malware scanner ma non è sufficiente a mitigare i
danni. I file rimangono cifrati e non si possono aprire in nessun modo. E,
credetemi, per il tipo di tecnologia utilizzata è cosi. E se qualcuno è
riuscito a recuperare i dati è solo perché ancora, necessitando di tempo la
cifratura, questi file non erano stati processati dall’attacco.
Come ci si difende
Per difendersi è necessario distinguere l’attacco in due
fasi:
Prima dell’attacco
Per evitare l’attacco è fondamentale attivare tutte le
protezioni che abbiamo a disposizione più il buon senso nelle nostre azioni.
1) Effettuare periodicamente un backup (salvataggio) di tutti
i vostri file su un CD, DVD, Hard Disk esterni, Memorie e cosi via e custodirli
con cura i un luogo sicuro.
2) Tenere aggiornato il sistema operativo ( Windows
Update).
3) Tenere attivato il Firewall di Windows e del Router se
connessi alla rete.
4) Tenere attivato Windows Defender.
5) Installare ed aggiornare periodicamente un buon
Antivirus.
6) Evitare di aprire gli allegati della posta elettronica
se non conoscete il mittente.
7) Tenere attivato il Windows Controllo Utente.
8) Evitare di effettuare download di foto, video, musica
da siti sconosciuti soprattutto se Gratis.
9) Fare in modo che tutte le chiavette usb, le memorie e
i dischi esterni vengano controllati dall’antivirus appena collegati.
10) Evitare di collegare alla rete pc, tablet, smartphone
e altro che non siano provvisti di sistemi Antivirus o sicurezza idonea.
Dopo l’attacco
1) Purtroppo a causa dell’evoluta e complessa
architettura, nonchè allo scopo dell’attacco, esso agisce in sordina e non è
facile accorgersi immediatamente. Tuttavia all’apertura di un file già cifrato
apparirà una finestra che comunica che il file non si può aprire se non dietro
il pagamento della congrua somma di denaro con le indicazioni di pagamento.
2) Appena certi dell’infezione è necessario spegnere
immediatamente il pc.
3) NON collegare chiavette usb, memorie o dischi esterni
contenenti tool per la rimozione in quanto ne verrebbe anche cifrato il
contenuto.
4) Estrarre fisicamente dal PC infetto le unità disco e
successivamente estrapolare dall’esterno i file ancora integri.
5) NON cercare di forzare l’apertura dei file. Si
peggiorerebbero le cose e si perderebbe solo tempo.
6) Nel caso, saggiamente, vi troviate una copia di backup
dei vostri dati sarà sufficiente formattare il pc infetto e reinstallare il
sistema operativo su nuova partizione.
7) Chiedete consiglio e affidatevi a tecnici esperti e
preparati in sicurezza informatica.
8) Se l’attacco non ha procurato seri danni tirate un
sospiro di sollievo e adottate le misure di cui sopra.
9) Se l’attacco ha procurato forti e gravi danni
presentare esposto denuncia agli uffici di Polizia Postale o Carabinieri
10) Pagare il riscatto (opzione non consigliata in quanto
spesso la chiave fornita non è idonea)
Qualche tentativo per recuperare i file crittografati:
Molti siti pubblicizzano utility e software in grado di
decifrare e recuperare i dati ma nella gran parte dei casi
hanno solo lo scopo di vendere tali programmi e in alcuni
casi effettivamente sono in grado di recuperare i file ma solo ed
esclusivamente quelli cancellati o danneggiati per altri motivi e NON per la
crittografia.
Probabilmente usciranno sul mercato delle utility che
saranno in grado di recuperare i file crittografati ma ci vorrà tempo. Come per
i software antivirus molte aziende saranno in grado di realizzare utility
efficaci sulla base di studi approfonditi sulle chiavi di crittografia
utilizzate per effettuare gli attacchi, tuttavia tali attacchi si manifestano
con nuove varianti e per tale motivo ci vorrà molto tempo per decifrare ogni
singola chiave di cifratura.
Un ulteriore tentativo per recuperare i file può essere
fatto attraverso la procedura delle Copie Shadow di Windows in cui parlo
ampiamente in questo articolo http://www.antonioparisi.it/come-recuperare-i-file-utilizzare-le-copie-shadow-di-windows/
Altra possibilità di recupero può essere effettuata
attraverso questo tutorial in cui consiglio un valido tool messo a disposizione
dai laboratori di Kaspersky Lab
Voglio precisare che i suggerimenti elencati in questo
tutorial, prima e dopo le fasi dell’attacco sono indicati per una postazione
stand alone o di rete di tipo Workgroup. Per le infrastrutture di rete
Server-Client con domini Active Directory sono necessarie ulteriori modalità e
procedure avanzate, oltre ad apparati hardware, per garantirne la sicurezza.
No abbassare mai la guardia!
Link dai quali si possono scaricare due utilissimi
programmini gratuiti:
Norton Power Eraser
CryptoPrevent
Programma fortemente consigliato:
Shadow Defender (sito ufficiale)
La recensione di HTML.IT
Autore: Antonio Parisi
Fonte: antonioparisi.it