Difendersi da Cryptolocker

postato in: virus informatici | 0

Ti sono comparsi strani file in tutte le cartelle, non riesci più ad aprire i tuoi files e all’avvio del computer appaiono messaggi come quello che ho incollato di seguito. Sei stato infettato da un temibile virus in circolazione, il Crytolocker o qualche sua variante.

CryptoLocker e le sue varianti, sono “ransomware trojan” ovvero dei virus informatici che limitando l’accesso ai dati presenti sul computer infetto, richiede un riscatto per rimuovere il blocco. In particolare, CryptoLocker cifra i dati presenti sul computer con una chiave RSA a 2048 bit, in mano al server che controlla il virus.

La sicurezza della chiave è tale che non è possibile un attacco brute force, al computer infetto non resta che pagare il riscatto (pratica che non consigliamo e vedremo il perché), oppure rimuovere il virus e perdere i dati.

La cifratura coinvolge tutti i dati dell’utente, e si propaga a tutte le condivisioni di rete mappate in locale, diventando un vero flagello per le imprese medio/piccole che non hanno adeguati strumenti di protezione.

Il principale veicolo d’infezione è la mail. Facendo un pò d’attenzione, le mail incriminate si riconoscono facilmente con gli stessi criteri applicabili al phishing.

  • Hanno evidenti errori ortografici in quanto tradotte con strumenti automatici
  • Cercano di mettere in uno stato di apprensione l’utente, con messaggi del tipo “abbiamo bloccato il tuo account” “abbiamo urgente bisogno di aggiornare i tuoi dati” oppure invogliarlo a cliccare con messaggi tipo “richiedi il tuo buono spesa”
  • Anche quando il mittente è conosciuto, ci dobbiamo insospettire se il contenuto della mail è minimo (per esempio contiene solo un link)

In caso di infezione, o di sospetta infezione, il miglior consiglio che mi sento di dare è quello di spegnere il computer, soprattutto in un contesto lavorativo. Nel dubbio un tecnico qualificato, oppure un utente avanzato, può collegare l’hard disk ad un altro PC e recuperare i dati che non sono stati ancora crittografati, oltre che ovviamente a rimuovere il virus. Sul desktop compariranno files con estensione “html, png, txt” che contengono il messaggio dell’ hacker su cosa accade ai vostri file e le istruzioni per il pagamento (parte che ho omesso):

NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem) 

What exactly that means?

It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .

What exactly happened to your files ???

*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

What should you do next ?

There are several options for you to consider :
***  You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
***  You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.

Non consigliamo di pagare il riscatto (per la cronaca, il pagamento si fa in bitcoin, in modo da non essere rintracciabile), sia per non incentivare la propagazione di questo tipo di trojan, sia perchè non possiamo avere la certezza che una volta pagato il riscatto ci verrà data la chiave per tornare in possesso dei nostri files.

I consigli per tenere alla larga cryptolocker e le ultime varianti (cryptowall), sono:

  • tenenere il sistema operativo aggiornato
  • controllare stato antivirus e tenerlo aggiornato
  • un firewall software può mitigare i danni, se non incluso nell’antivirus utilizzato
  • un firewall hardware, come per esempio DELL Sonicwall, ha delle funzionalità avanzate come Gateway antivirus, Content Filter, Client Antivirus e Antispam etc. che possono alzare l’asticella della sicurezza nei vostri ambienti di lavoro con la serie NSA o anche a casa/piccolo ufficio  utilizzando la serie SOHO
  • Non aprite mail sospette, neanche se arrivano da utenti che conoscete. Se usate l’anteprima automatica in outlook o thunderbird, non cliccate su i link! Tra l’altro se ci fate caso passando il mouse senza cliccare sul link, in basso c’e’ l’anteprima del link su cui si verrà indirizzati. E’ sempre evidente in questi casi che il link non c’entra niente con il mittente. Ricordate che l’estensione vera del file allegato ad una mail su cui state cliccando, può essere nascosta. Per esempio pensate di cliccare su un PDF allegato, magari c’e’ anche l’icona di Acrobat Reader, ma in realtà il file è l’ eseguibile (.exe) del virus.
  • Dovete avere una copia di backup dei vostri dati importanti, e tenerla sempre aggiornata e scollegata dal computer, in modo che non sia attaccata dal virus. Per le cartelle condivise in rete, sia su NAS che su Server, bisogna fare il backup su supporti rimovibili o configurando adeguate policy di accesso.
  • Potete provare (Attenzione a oggi 02/04/16 è ancora in BETA, lo provate a vostro rischio) a installare MalwareBytes Antiransomware

link riferimenti:

Polizia di Stato

Wikipedia pagina Cryptolocker

 

 

I commenti sono chiusi.