Nel video sottostante analizzo e spiego molti aspetti dei virus del riscatto della famiglia Cryptolocker. Il video dura 36 minuti, ma penso che possa chiarire molte cose a chi, fino ad oggi, non ha mai sentito parlare di virus Cryptolocker, di riscatti, di Bitcoin.

Aggiornamento al 5 febbraio 2023

Torno a scrivere di ransomware dopo anni di silenzio. Lo faccio perchè oggi è in corso un attacco hacker che sta colpendo tutto il mondo.

Lo faccio perchè in questi 3 anni abbondanti poco è cambiato.

Gli attacchi ransomware continuano.

Le richieste di riscatto sono sempre più alte.

Le modalità di attacco sono sempre le stesse.

Le aziende continuano ad ignorare o a sottovalutare l'importanza della protezione dei propri dati. Continuano a non investire nell'aggiornamento delle procedure di sicurezza. Continuano a non investire nella formazione del personale.

La cosa più grave è che la maggior parte dei cosiddetti "tecnici informatici" ignora il problema perchè non lo conosce. E, non conoscendolo, lo sottovaluta. Esponendo i propri clienti a rischi incalcolabili.

Ogni volta che vengo interpellato da una vittima di un attacco ransomware constato l'esistenza di un "tecnico" incapace che non è stato in grado di proteggere l'infrastruttura, di assicurare backup sicuri, di far capire al cliente quali siano i rischi in caso di scarsa attenzione alla sicurezza.

Odio parlare male dei miei colleghi, ma constatare ancora oggi che esistono computer nei quali il Desktop Remoto di Windows è attivo senza alcun tipo di protezione mi scoraggia e mi autorizza a dire che troppo spesso il ransomware ha il più grande alleato nell'ignoranza dei "tecnici".

Inutile dire che, a seguito di un attacco ransomware, il titolare dell'azienda colpita dica sempre la stessa frase:-"io non ci capisco nulla e mi fidavo della società informatica che mi gestiva tutta la rete".

Voi vi fidate? Voi sapete cosa fa un ransomware? Voi sapreste lavorare in ufficio con tutti i computer spenti? Avreste piacere a pagare un riscatto di migliaia di euro ad un hacker per reimpossessarvi di ciò che è vostro?

Non sottovalutate il problema. Investire nella sicurezza e nella formazione è l'unico modo di tenere al sicuro i propri dati.E la propria serenità.

 


Aggiornamento all'8 novembre 2019

Oggi ho avuto modo di confrontarmi con una nuova variante di Cryptolocker, il cui nome, Nomikon 1.0, compare nel nome della pagina html in cui è espressa la richiesta di riscatto.

Il virus sembra sia entrato nel tentativo di scaricare un filmato con estensione .mp4 (dico sembra perchè non ho trovato tracce dirette). I files vengono crittografati con estensione .jrmcu aggiunta alla fine del nome e, in ogni cartella infetta, viene creato un file DECRYPT.html contenente la richiesta di riscatto che posto qui di seguito:

Il file responsabile dell'infezione è doppio. In una cartella temporanea il file ha nome ms.exe. Una copia, invece, si sovrappone al file eseguibile di One Drive, in modo da semplificare la riattivazione del virus ad ogni riavvio del computer (in Windows 10 One Drive viene avviato automaticamente). Il file eseguibile originale di One Drive viene rinominato con una lettera s iniziale e non cancellato.

Nella pagina di richiesta del riscatto viene visualizzato un timer. Il timer serve per mettere fretta a chi intende pagare: infatti dopo 6 giorni la richiesta economica raddoppia. La novità consiste nel fatto che il timer non si avvia alla prima apertura della pagina di riscatto come avviene per la variante FTCODE, ma parte direttamente nel momento nel quale il virus inizia la propria azione di crittografia.

Sul desktop compare invece un'immagine a sfondo bianco in cui un testo avvisa dell'avvenuta crittazione dei file. Nel testo compare il nome dell'utente del computer.


Sul fronte FTCODE, le richieste si attestano ormai sui 2.000/3.000 US$ iniziali, confermando la tendenza al rialzo già evidente negli ultimi giorni.

Aggiornamento al 18 ottobre 2019

Oggi ho avuto evidenza di infezioni della variante FTCODE che chiedono un riscatto iniziale di 3.000 dollari. Fino ad oggi le richieste iniziali erano sempre di 500 dollari.

Questo aumento vertiginoso è preoccupante, data la facilità con la quale questo virus sta colpendo.

Nell'aggiornamento del 14 ottobre sottostante potrete trovare maggiori informazioni sulla variante FTCODE.

Aggiornamento al 14 ottobre 2019

E' attiva in questi giorni l'ennesima variante del Cryptolocker. Si chiama FTCODE e si propaga attraverso un allegato Word in formato DOC contenuto in un'email PEC fraudolenta. L'email può arrivare da un indirizzo conosciuto e può sembrare assolutamente attendibile. Ritengo che la diffusione di questo virus raggiungerà i livelli toccati anni fa dalle email della falsa bolletta Telecom. Se si apre l'allegato della PEC, il virus attacca tutti i dischi del computer (locali, di rete, USB) crittografando i files di maggiore utilizzo (PDF, DOC, XLS, JPG, database di vario tipo, ecc).

Il prezzo richiesto parte da 500$ per raggiungere, dopo pochi giorni, i 25.000$. In ogni cartella contenente files crittografati viene creato un file READ_ME_NOW.HTM contenente le istruzioni di riscatto (consultabili attravero browser Tor).

Da notare che alla prima apertura della pagina di riscatto si attiva un timer, il quale fa crescere, col passare dei giorni, la richiesta economica.

La pagina di riscatto permette di decrittografare gratuitamente un file di dimensione minore di 1 Mb.

Ad oggi non esiste un decrittatore in grado di recuperare i files colpiti da questa variante.

Si raccomanda, come sempre, di installare un buon antivirus a pagamento sul proprio computer e di effettuare regolari copie di backup dei dati, a salvaguardia degli stessi.

Aggiornamento al 3 settembre 2019

A seguito della notizia delle cessate operazioni da parte degli autori del Gandcrab, è ora possibile decrittare i files crittografati da 3 delle 5 varianti del virus.

In queste settimane molte nuovi varianti stanno colpendo in Italia. Cito quella a mio avviso più temibile, la Sodinokibi. Essa viene inoculata tramite accessi in desktop remoto sui server e crittografa tutti i files di dati che trova in tutte le cartelle cui il server ha accesso. Ho personalmente verificato che, in un attacco, l'hacker ha creato, con un'unica infezione, 3 distinte chiavi con 3 distinti files di richiesta riscatto. E' la prima volta che assisto ad un fenomeno del genere, che ritengo estremamente preoccupante perchè se una chiave di decrittografia comporta l'ipotesi del pagamento di un riscatto, tre chiavi triplicano l'importo dell'eventuale pagamento.

Aggiornamento al 4 giugno 2019

Il 1 Giugno 2019 gli sviluppatori del ransomware Gandcrab hanno annunciato nel Dark Web che non svilupperanno più il loro virus e che cesseranno qualsiasi attività.

I creatori di Gandcrab sostengono di aver guadagnato oltre 2 miliardi di dollari. con una media di 2,5 milioni di dollari a settimana, ed invitano tutti coloro che hanno ancora files crittografati a pagare entro fine mese. In quella data, stando al post, tutte le chiavi di decrittografia verranno cancellate dai server, e non sarà possibile in alcun modo recuperare i files.

Per approfondimenti; https://pbs.twimg.com/media/D79r4uHXYAAzxT-.jpg:large e https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/.

Il Gandcrab è attivo da Gennaio 2018 ed ha colpito migliaia di computer in tutto il mondo. Il virus è stato costantemente aggiornato e, sebbene esista un decrittatore in grado di recuperare files crittografati dalle varianti 1, 4 e 5 (fino alla 5.0.3), rimane uno dei virus più dannosi in circolazione.

Cosa succederà a fine mese? Nessuno può dirlo, ma gli scenari possono essere due:

  1. I creatori del Gandcrab rilasceranno delle chiavi universali di decrittografia dei files, permettendo a chi è stato colpito di recuperare i propri files.
  2. Nessuna chiave universale verrà rilasciata.

Nel primo caso (peraltro già verificatosi con diverse varianti di ransomware), tutti potranno tornare in possesso dei propri files.

Nel secondo caso il problema sarà enorme, e l'unica speranza di recuperare i files crittografati sarà nella capacità degli esperti di individuare una chiave di decrittografia funzionante. Cosa non riuscita finora e difficilmente possibile.

In ogni caso, consiglio alle vittime del Gandcrab di conservare i files e di attendere sviluppi.

Aggiornamento al 7 gennaio 2019

Il virus del riscatto, o Cryptolocker, è un virus che crittografa i files presenti in un computer rendendoli illeggibili. Scopo dei delinquenti che hanno creato questa famiglia di virus è quello di chiedere, alla vittima, un riscatto per ottenere un decrittatore in grado di recuperare i files danneggiati.

Nella maggior parte dei casi, il virus si diffonde attraverso un attacco diretto da Internet effettutato da un hacker che accede ad un computer sul quale è attiva la funzione di Desktop Remoto: l'hacker, una volta preso il controllo del computer, disattiva tutti i sistemi di sicurezza ed inocula il virus. Questo è il caso nel quale i danni sono maggiori, perchè la macchina infetta è totalmente in mano all'hacker, che può controllare l'eventyuale presenza di files di backup e colpire anch'essi con facilità.

In altri casi il virus si diffonde attraverso link o allegati contenuti in messaggi fraudolenti di posta elettronica. In tal caso, aprendo il link (o l'allegato), il virus viene attivato e provvede a crittografare tutti i dati del computer utilizzato.

In altri casi ancora il virus si inocula nel sistema attraverso pagine web infette, In casi sempre più frequenti entra in un computer sfruttando una connessione di Desktop Remoto protetta da una password troppo semplice.

Quale che sia la modalità d'infezione, il danno provocato è molto simile. Nello specifico:

  1. Vengono crittografati i file utente degli hard disk del computer (le estensioni dei files.variano a seconda della tipologia di virus, sono comunque colpiter le estensioni più diffuse come: .DOC,.DOCX,.XLS, .XLSX, .PDF, .JPG, .MDB, .PST).
  2. Vengono crittografati i file presenti in hard disk o pennette USB connessi all computer al momento dell'infezione o successivamente,
  3. Vengono crittografati i file dell'utente presenti in cartelle di rete condivise da altri computer.

Cosa è importante sapere:

  1. I files crittografati dal virus vengono parazialmente riscritti con un codice di crittografia la cui chiave è univoca (diversa per ogni computer infettato) e segreta. Gli unici a conoscerla sono i creatori del virus. Tali files non possono essere più aperti, letti o modificati.
  2. I files crittografati non sono infettanti, così come eventuali hard disk o pennette USB colpiti dal virus non propagano l'infezione se attaccati ad altri computer.
  3. Ad ogni riavvio, nella maggior parte delle infezioni, il virus si riattiva e continua la sua opera distruttiva. E' quindi buona norma tenere un pc infetto spento.
  4. In caso di ambienti di rete con cartelle condivise da un server, un NAS o altri computer, è fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione del danno.

Le varianti più diffuse in questi giorni vengono inoculate nei computer sfruttando delle vulnerabilità del desktop remoto di Windows.

I nomi sono diversi, tra di essi spiccano il famigerato Dharma (ormai attivo da oltre un anno) che modifica i nomi dei files con estensioni sempre nuove, la più recente delle quali è adobe. Molto attive sono le varianti Rapid, Matrix e Bip. Per queste nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

In caso di infezione diretta su un Server attraverso attacco al Desktop Remoto, l'hacker disattiva eventuali antivirus e tutte le protezioni presenti sul server. Solo successivamente inocula il virus sul Server ed inizia l'attacco, quindi è impossiile recuperare dati dal Server. In seguito all'infezione, i files presenti sui dischi e colpti cambiano nome, assumendo un'aspetto simile a questo: FIle_2017.xlsx.id-62EFC9C9.[recfile@protonmail.com].cobra (al nome del file viene aggiunto l'ID univoco, un'email su cui contattare l'hacker responsabile dell'attacco e un nome che identifica la variante del virus).

Raccomando, in caso di infezione, la massima tempestività nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico (NON UN PARENTE O UN AMICO SMANETTONE, responsabili, spesso, di danni peggiori di quelli indotti dal virus). Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Se l'infezione colpisce un ufficio dove sono presenti più computer, spegnete immediatamente tutti i computer, per evitare che l'infezione possa propagarsi dal computer "untore" agli altri. Particolare attenzione va prestata all'eventuale server, che va isolato dalla rete appena ci si rende conto dell'infezione,

Le raccomandazioni sono sempre le stesse: se infetti, spegnete immediatamente il PC e chiamate il vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili. Io ho sede a Roma, ma posso, attraverso connessione remota, operare tranquillamente a distanza.

In caso di infezione attenetevi a queste semplicissime procedure:

  1. Spegnete immediatamente il computer, anche brutalmente staccando la spina di alimentazione. Se il virus vi infetta, agisce molto velocemente, Non riavviate il computer: ad ogni riavvio il virus continua a crittografare i vostri files, estendendo l'entità del danno.
  2. Rimuovete eventuali dispositivi USB connessi al sistema (pennette, hard disk, chiavette di firma digitale, ecc.).
  3. Se il computer è connesso in rete ad altri computer o server, staccate immediatamente il cavo di rete e spegnete tutti gli altri computer/server della rete.
  4. Contattate immediatamente il vostro tecnico di fiducia, facendogli presente il tipo di virus che vi ha colpito.
  5. La rimozione del virus richiede un massimo di un'ora di intervento. Se il vostro tecnico sostiene che deve portare via il computer infetto, o che deve formattarlo, consiglio calorosamente di affidarsi a qualcuno più esperto. La formattazione del computer rende vana la possibilità, in futuro, di recuperare i files crittografati.

Aggiornamento al 25 ottobre 2018

E' stato rilasciato oggi un decrittatore in grado di decrittografare i files colpiti dalle varianti 1, 4 e 5 del virus Gandcrab. Il Gandcrab è una variante del Cryptolocker molto attiva negli ultimi mesi.

Aggiornamento al 7 dicembre 2017

Le varianti più diffuse in questi giorni vengono inoculate nei computer sfruttando delle vulnerabilità del desktop remoto di Windows. Possono essere anche violati accessi remoti gestiti da TightVNC.

I nomi sono diversi, tra di essi spiccano il Cobra, lo Shadow, il Payday e l'Arena , Per queste nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 1 agosto 2017

Le varianti più diffuse in questi giorni vengono inoculate nei computer sfruttando delle vulnerabilità del desktop remoto di Windows. Possono essere anche violati accessi remoti gestiti da TightVNC.

I nomi sono diversi, tra di essi spicca il Satan, il BTCWare ed il GlobeImposter 2.0, Per questa nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 19 maggio 2017

Da oggi è possibile, in molti casi, decrittografare, oltre ai files infetti dalle varianti DHARMA e WALLET, anche le varianti XTBL, CRYSIS, CRYPT, LOCK, CRYPTED e ONION..

Per info contattatemi al 335/7874178.

Aggiornamento al 18 maggio 2017

Da oggi è possibile, in molti casi, decrittografare files infetti dalle varianti DHARMA e WALLET. Si tratta di due varianti molto simili, che si propagano attraverso connessioni di Desktop Remoto (RDP) poco sicure, ed aggiungono ai files crittografati una lunga estensione contenente un indirizzo email e la desinenza finale .wallet o .dharma (ad esempio "relazione.doc.[oron@india.com].dharma" o "brochure.pdf.[webmafia@asia.com].wallet".

Per info contattatemi al 335/7874178.

Aggiornamento al 15 maggio 2017

La variante più diffusa in questi giorni si chiama WANNACRY e viene inoculata nel computer sfruttando delle vulnerabilità dei sistemi operativi più vecchi o non aggiornati. Se ne sta parlando moltissimo (finalmente) su molti siti, anche di quotidiani, ma si dimentica di scrivere il dato più importante: senza un backup valido e sicuro non ci sono molte possibilità di superare indenni una simile infezione.

Aggiornamento sulle varianti decrittabili - 28 marzo 2017

Nelle ultime settimane sono uscite soluzioni per le infezioni che colpiscono attraverso connessione remota (RDP) aggiungendo estensione DHARMA ai files infetti e alle infezioni che si diramano attraverso allegati email che aggiungono estensione R9OJ (Crypton).

Ancora non si trovano soluzioni per le infezioni che colpiscono attraverso RDP aggiungendo estensione WALLET.

Ricordo che sono decrittabili tutte le varianti del virus che aggiungono estensioni di tipo: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro ed mp3.

Per informazioni contattatemi al 335/7874178 o via email.

Aggiornamento al 28 marzo 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email a volte conosciuto, contenente un allegato ZIP, un file DOC o un file XLS di una fattura. All'interno del file ZIP si trova un file con estensione JS o EXE, che inocula il virus. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Per queste nuove varianti non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Purtroppo per i virus di nuova generazione non stanno uscendo soluzioni gratuite in grado di permettere la decrittografia dei files, quindi i danni arrecati dalle nuove varianti del Cryptolocker sono consistenti e da non sottovalutare.

Aggiornamento al 22 febbraio 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email a volte conosciuto, contenente un allegato ZIP di una fattura. All'interno del file ZIP si trova un file con estensione JS, che inocula il virus. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Per queste nuove varianti non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 16 gennaio 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email conosciuto, dal corriere SDA o da EQUITALIA. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Aggiornamento al 7 dicembre 2016

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente dal corriere SDA. I files infetti vengono identificati da un'estensione a 6 lettere casuali, diversa per ogni file. Nelle cartelle infette vengono salvati 2 files, uno con estensione HTML ed uno con estensione TXT dal nome COME_RIPRISTINARE_I_FILES.

Per questa variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 19 settembre 2016

Le varianti che stanno agendo in questo periodo sono tante, in particolare colpiscono fortemente quelle che aggiungono, ai files crittografati, le estensioni .crypt, .crypz, un'estensione formata da 7 lettere casuali, .zepto, .cerber, .petya.

Aggiornamento al 21 giugno 2016

Il virus del riscatto continua a colpire incessantemente. Le varianti più diffuse in questi giorni sono quelle che aggiungono, ai files crittografati, le estensioni .crypt, .crypz e un'estensione formata da 7 lettere casuali.

Aggiornamento al 24 maggio 2016

Da oggi sono in grado di aiutarvi a recuperare i files crittografati dalle varianti del Cryptolocker che aggiungono ai nomi dei files infetti estensione di tipo: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro ed mp3. Per info e modalità contattatemi al 3357874178.

Aggiornamento al 14 maggio 2016

In questi giorni sono particolarmente frequenti casi di infezioni che aggiungono ai files infetti l'estensione .encrypted o .crypt.

Queste infezioni sono meno "cattive" delle precedenti, e sono più facilmente recuperabili, a patto di intervenire tempestivamente.

Se la variante .encrypted colpisce attraverso email fraudolente, la variante .crypt viene inoculata da siti web infetti.

Raccomando sempre, in caso di infezione, la tempestività nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico. Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Se l'infezione colpisce un ufficio dove sono presenti più computer, spegnete immediatamente tutti i computer, per evitare che l'infezione possa propagarsi dal computer "untore" agli altri. Particolare attenzione va prestata all'eventuale server, che va isolato dalla rete appena ci si rende conto dell'infezione,

Aggiornamento all' 11 aprile 2016

In queste ultime settimane sono riapparsi, dopo un'apparente pausa, delle vecchie varianti della famiglia dei virus Cryptolocker: quelle che si propagano attraverso false bollette Telecom ed Enel e false cartelle Equitalia.

Nuove varianti sono ora attive, e spesso non vengono individuate da alcun antivirus. Per la prima volta i file che vengono creati dal virus e che crittografano i dati degli utenti sono invisibili anche ad un controllo approfondito. Ho personalmente constatato che in questi casi l'unica possibilità di rimozione del virus è un intervento manuale.

Altro elemento di novità è costituito dal tipo di file utilizzato dal virus per inocularsi. Ora, all'interno del file .ZIP normalmente allegati alle email fraudolente, oltre al finto .PDF con estensione .EXE o .JS o ai files con estensione .XLSXM (o .XLSM) e .DOCXM (o .DOCM), si può trovare un file con estensione .WSF (Windows Script File).

Aggiornamento al 12 marzo 2016

Le novità di questa settimana sul fronte dei virus del riscatto (Cryptolocker e similari) sono inquietanti. Alle varianti classiche, si aggiungono 2 nuove forme di inoculazione.

La prima riguarda i computer Apple. Una variante del Cryptolocker riesce ad inocularsi in un sistema Mac attraverso un Trojan che entra nel computer attraverso una pagina internet infetta. Una volta inoculato, il virus colpisce con modalità molto simili a quelle delle varianti Windows.

La seconda è estremamente allarmante, e riguarda la possibilità del virus di essere inoculato in un computer Windows sfruttando le vulnerabilità del Desktop remoto, una funzione dei sistemi operativi Windows di essere gestiti a distanza. Se per errore o per incuria si lascia parta sul server una connessione di Desktop remoto non sicura (ovvero non protetta da password sicura), la stessa connessione viene violata, ed utilizzata per inoculare il virus, che crittografa tutti i dati sul server.

Aggiornamento all' 1 marzo 2016

Il virus del riscatto continua a diffondersi incessantemente. Le nuove varianti riescono ad infettare i computer attraverso la navigazione internet. Quindi non più solamente attraverso l'apertura di allegati di messaggi di posta elettronica. Raccomando la massima attenzione: tutte le persone che sono state infettate stavano navigando alla ricerca di partite in streaming, di film e di canzoni. Inoltre, segnalo l'arrivo di una nuova ondata che colpisce i telefonini, sia Iphone che Android.

Raccomando sempre, in caso di infezione, la tempestività nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico. Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Se l'infezione colpisce un ufficio dove sono presenti più computer, spegnete immediatamente tutti i computer, per evitare che l'infezione possa propagarsi dal computer "untore" agli altri. Particolare attenzione va prestata all'eventuale server, che va isolato dalla rete appena ci si rinde conto dell'infezione,

Aggiornamento al 15 febbraio 2016

Continua l'offensiva dei virus del riscatto. Nuove varianti si aggiungono ogni settimana, Il dato allarmante, oltre alla sua crescente diffusione, è l'innalzamento della richiesta economica. Al danno si aggiunge quindi la beffa. Nelle nuove varianti la richiesta di riscatto parte da 2 Bitcoin (circa 700 €).

Avviso inoltre che esiste una soluzione a versioni precedenti del virus. Mi riferisco alle versioni che aggiungono una delle seguenti estensioni ai file crittografati: ".ecc”, “.exx”,” .ezz”, “.vvv”, “.xxx”, “.aaa”, “.fff”, “.xyz”, “.abc”, “.ttt”, “.xyz”, “.ccc”.

Se i vostri files sono stati crittografati non cancellateli formattando il computer: in molti casi il recupero è possibile nell'immediato. Altrimenti, potrete sempre attendere che in futuro si renda disponibile un sistema di decrittografia in grado di ridarvi i files bloccati.

Aggiornamento al 2 febbraio 2016

L'ultima variante di questa famiglia di virus aggiunge ai files crittografati l'estensione .micro.

In caso di infezione di questa o delle altre varianti del virus, spegnete immediatamente il computer e rivolgetevi al vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili.

Non chiamatemi nei seguenti casi:

  • il vostro computer è equipaggiato con Windows XP;
  • è già intervenuto un "amico" o un "tecnico" ( troppe volte ho constatato che i maggiori danni non li ha fatti il virus).

Aggiornamento al 25 gennaio 2015

L'infezione da virus della famiglia Cryptolocker o CTB-Locker si attiva aprendo un allegato proveniente da una email fraudolenta che può avere come mittente Equitalia, Telecom, Acea, o, più semplicemente, un parente, un amico o un perfetto sconosciuto.

Se a seguito dell'apertura di un allegato proveniente da una simile email vi accorgete che il computer rallenta e le icone dei file diventano tutte bianche, non perdete tempo: spegnete immediatamente il computer isolandolo dalla rete.

Se si agisce con prontezza ci sono maggiori possibilità di recuperare i files danneggiati.

Non attaccate assolutamente ad un PC infetto Hard Disk o pennette di memoria USB perchè verrebbero anch'esse danneggiate in brevissimo tempo.

Se il computer è in una rete, isolatelo immediatamente, per evitare che il virus danneggi files in cartelle condivise.

In caso di infezione, spegnete immediatamente il computer e rivolgetevi al vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili.

Il sito http://tmc2ybfqzgkaeilm.onion, è tornato in funzione.

Aggiornamento al 24 gennaio 2015

Devo segnalare, mio malgrado, che dalla mattina di martedì 19 gennaio il sito http://tmc2ybfqzgkaeilm.onion, che viene indicato a seguito dell'infezione che si propaga attraverso l'apertura di una falsa fattura proveniente da una email di Telecom, risulta oscurato, come del resto altri siti indicati a seguito di infezioni della famiglia CTB-Locker e Cryptolocker. Tali siti sono utilizzati per quantificare il riscatto richiesto dagli autori dell'estorsione e per procedere, eventualmente, con il pagamento. Il motivo dell'oscuramento non mi è ancora noto, le possibilità sono due: o i siti sono stati oscurati a seguito dell'intervento di qualche autorità giudiziaria, o gli autori del riscatto hanno preferito eliminarli perchè si sentivano braccati.

In ogni caso, essendo tali siti irraggiungibili, è impossibile procedere con il pagamento del riscatto, ed è quindi impossibile ottenere la chiave di decrittografia per recuperare i files infetti.

L'unica possibilità rimane quella, quindi, di percorrere altre strade, affidandosi ad un esperto che sappia dove mettere le mani.

La tempestività gioca un ruolo fondamentale: prima si interviene e più possibilità ci sono per risolvere il problema. Se il vostro computer ha contratto il virus Cryptolocker spegnetelo immediatamente isolandolo dalla rete.

Se non avete un tecnico di fiducia potete contattarmi al 3357874178.

Aggiornamento al 20 gennaio 2015

Da 3 mesi lavoro incessantemente sulle infezioni provocate da virus della famiglia Ransomware (riscatto) come Cryptolocker, CTB-Locker e similari. Ad oggi, su tanti casi analizzati, ho una casistica di successo nel ripristino di computer sui quali sono intervenuto nel giorno dell'infezione del 60%. La percentuale cala drasticamente quando intervengo su computer infetti da più giorni. Questo dato è indicativo di quanto sia importante la tempestività e di quanto sia importante spegnere immediatamente il computer quando ci si accorge di essere stati infettati (soprattutto se il computer fa pare di una rete).

Se siete stati infettati dal Virus del Riscatto, e non avete un vostro tecnico di fiducia, contattatemi immediatamente al 335787417 (NON RISPONDO A WHATSUP), ma prima sappiate che:

Nessun tipo di recupero è possibile su sistemi dotati di Windows XP.

Un mio intervento di rimozione del virus e di tentativo di recuperare i files infetti dura mediamente 1 ora abbondante. Per questo non posso permettermi di operare gratis (alcune persone si sono offese quando ho parlato di soldi: se conoscete un salumiere che regala prosciutto datemi l'indirizzo...)

 

Premessa (questo articolo si riferisce ad una versione di un anno fa, che differisce da versioni più recenti)

Ho parlato di Cryptolocker (o CTB-Locker) in un recente articolo (leggi), evidenziando alcuni aspetti estremamente preoccupanti di questo malware del riscatto.

Si tratta di un malware che viene spedito come allegato ad un messaggio di posta elettronica. Se l'allegato viene aperto in un computer privo di adeguate protezioni, il malware si innesca e procede a crittografare tutti i files presenti nel computer, rendendoli inutilizzabili. Per poterli recuperare, il malcapitato utente è invitato a pagare un riscatto, in cambio del quale gli viene fornita una chiave che permette di rimuovere la crittografia dai files infetti.

Nell'articolo precedente mi sono soffermato su alcuni aspetti morali, sottolineando il fatto che pagare per riavere indietro i propri files permette a bande di delinquenti di finanziare le proprie attività illecite, rendendoci in qualche modo complici.

Oggi invece spiegherò passo passo come avviene l'infezione, come si propaga, come ci si accorge della presenza del malware, come vengono attaccati i files e, soprattutto, come possiamo scoprire quali siano i files infetti senza doverli aprire uno ad uno.

Ho avuto modo di affrontare questo virus nell'ufficio di un mio cliente, ed ho avuto la possibilità di approfondire un argomento estremamente delicato, riuscendo così a capire a fondo il suo funzionamento e a predisporre adeguati mezzi di difesa per evitare, in futuro, di sottovalutare Cryptolocker.

Ma procediamo per gradi.

I sintomi

Due settimane fa vengo contattato da un cliente. Mi viene spiegato che un computer è estremamente lento nell'utilizzo. Si avvia normalmente ma poi diventa inutilizzabile. Non si riesce a fare nessuna operazione in tempi accettabili.

Il giorno seguente mi reco dal cliente e svolgo la mia procedura standard di controllo per verificare la natura del problema. Il computer è effettivamente lentissimo, la spia dell'hard disk è accesa fissa e tutto sembra andare al rallentatore. Dopo pochi minuti scopro la causa del malfunzionamento: un malware è attivo e sta sfruttando le risorse del computer per qualche scopo illecito.

Lo blocco e lo rimuovo. Riavvio il computer e tutto funziona normalmente. Ma il nome del malware trovato mi fa tremare. Cryptolocker. So bene che di fronte ad un simile malware, la rimozione diventa estremamente delicata. Per vari motivi. Il principale è che se si rimuove completamente il malware non è più possibile procedere con il pagamento del riscatto e, quindi, rientrare in possesso dei files che sono stati crittografati.

Me ne infischio. Avevo appena migrato i dati dal vecchio al nuovo server, ed avevo tenuto due copie di riserva. Una sul vecchio server, che era rimasto spento. Una su un hard disk esterno. Che era stato staccato dal computer e messo da parte.

Al massimo avrei perso qualche file recente, e la cosa non mi dava alcuna preoccupazione.

La conferma

Rimosso il malware, inizio l'ispezione dei files e delle cartelle del computer infetto. E posso constatare la prima cosa. Cryptolocker crittografa i dati presenti nei files, ma non ne altera in alcun modo il nome, l'estensione, la data e gli attributi. Quindi navigando tra le cartelle con Esplora risorse non ci si accorge di nulla. O quasi. Perchè anche se i files esternamente non sembrano cambiati, appaiono in ogni cartella infetta dei files che fugano ogni dubbio.

I files sono 4 e si chiamano tutti HELP_DECRYPT. Per essere sicuri che vengano letti, gli autori del malware hanno ben pensato di crearne 4 tipi diversi: uno in HTML, uno in formato immagine PNG, uno in semplice formato testo TXT ed uno che altro non è che un link diretto ad uno dei siti volanti dove è possibile pagare il riscatto.

I tre files con estensione HTML, PNG e TXT contengono lo stesso messaggio, che riporto di seguito:

Sono, in pratica, le istruzioni da seguire per pagare il riscatto e procedere con l'eliminazione della crittografia.

I quattro files vengono creati in ogni cartella colpita dal malware.

Tornando alla prima figura dell'articolo, provo ad aprire il file readme.txt per verificare come si presenta, essendo sicuro che si tratta di un file crittografato. Eccolo una volta aperto:

Come è facile notare, il contenuto è completamente illeggibile. La crittografia sostituisce i caratteri standard con caratteri simili agli ideogrammi, utilizzando un algoritmo di crittografia univoco e impossibile da decifrare.

Provo allora ad aprire da un'altra cartella infetta un file PDF crittografato. Questo è il messaggio che compare in Adobe Reader:

Per curiosità, provo ad aprire un file DOC di Word infetto. Ecco cosa succede all'apertura:

Non nascondo di aver provato emozione di fronte a quanto stava succedendo. Per la prima volta potevo toccare con mano il famigerato Cryptolocker.

La diffusione

Cryptolocker è entrato nel sistema ed ha fatto danni. Rimane un problema, non piccolo. Come faccio a capire quali sono le cartelle ed i files infetti? Come posso determinare con sicurezza la diffusione del malware?

Prima di procedere a ripristinare i files danneggiati dalle cartelle di backup (il vecchio server o l'hard disk esterno) devo essere sicuro di andare ad agire velocemente sulle cartelle infette.

Mi viene in mente un primo metodo. Verifico la presenza in tutte le cartelle del computer infetto dei 4 files di nome HELP_DECRYPT. Teoricamente i 4 files appaiono solamente laddove l'infezione ha colpito.

Da una prima analisi il ragionamento funziona, e mi rendo facilmente conto di una cosa: Cryptolocker ha attaccato i files in maniera da distribuire la diffusione su tutte le unità disco presenti nel sistema. Sono stati crittografati files presenti sul disco C:, nel disco di rete Z; e nella chiavetta USB della firma digitale F: connessa al computer al momento dell'infezione. Cryptolocker si è quindi propagato immediatamente in tutte le direzioni, aggredendo tutte le unità connesse al sistema.

Il problema si complica: devo indagare su più direzioni e controllare contemporaneamente più unità disco per procedere al riconoscimento dei files crittografati.

L'elenco completo dei files crittografati

Mi fermo a ragionare. E mi viene in mente un aspetto da non sottovalutare. Cryptolocker chiede un riscatto per ripristinare i files crittografati. Quindi deve tenere traccia dei danni provocati per poter intervenire durante l'eventuale ripristino a seguito del pagamento del riscatto.

Devo indagare, e per farlo apro il Registro di Configurazione di Windows. Bastano pochi click e mi trovo di fronte ad una sorpresa piacevole. Cryptolocker tiene traccia dei suoi movimenti, creando nel Registro una sezione nella quale scrive delle informazioni importanti.

In una prima chiave scrive il contenuto dei 4 files HELP_DECRYPT, in una sottochiave scrive invece il percorso ed il nome di tutti i files che sono stati crittografati.

Nell'immagine seguente è possibile vedere la prima chiave:

Nella successiva immagine è possibile vedere, invece, l'elenco dei files crittografati:

Esportando la sottochiave di Registro è possibile salvare l'elenco completo in un file TXT.

Leggendo il contenuto del file TXT possiamo trovare anche una comoda numerazione (Valore) che ci permette di quantificare i danni.

Nell'infezione affrontata sono stati crittografati, prima della rimozione del malware, 1081 files.

Come si vede dall'ultima immagine, Cryptolocker ha agito anche su files presenti nel cestino, per i quali non si è posto il problema del recupero.

Il recupero

Trovato l'elenco, ho cominciato a ripristinare dai backup a disposizione i files, ed in poche ore ho riportato la situazione alla normalità.

Il recupero è stato reso possibile dalla presenza di supporti di backup non connessi al momento dell'infezione. Come già detto, il vecchio server era rimasto spento dopo la migrazione dei dati sul nuovo, ed il disco USB utilizzato per una ulteriore copia di sicurezza era staccato. Quindi il malware non ha potuto attaccare questi supporti. E questo aspetto deve essere tenuto bene a mente: un backup, per essere efficace, deve essere fatto su supporti che vengono connessi solamente per il tempo strettamente necessario all'esecuzione della procedura di backup, previa verifica che il sistema sia pulito.

Come si è attivato Cryptolocker

L'infezione di Cryptolocker si è potuta diffondere per due motivi. Il primo è che l'utente del computer ha aperto un allegato non sicuro. Il secondo è che il computer non era difeso da adeguati software antivirus ed antimalware.

Ed ecco l'ennesima predica: se dubitate del mittente di un'email, non aprite allegati in essa contenuti. Se un'email contiene allegati sospetti, non li aprite. Se vi viene offerto, tramite email, un guadagno economico, dubitate del suo contenuto. Insomma, per essere sicuri dobbiamo dare retta ai consigli dei nostri genitori: non dobbiamo accettare caramelle dagli sconosciuti. Il problema è che. spesso, le caramelle ci vengono offerte attraverso falsi messaggi di posta provenienti da persone che conosciamo.

Come difendersi

L'ho già scritto e lo ripeto testualmente. Per tutelarsi bisogna predisporre sul proprio computer:

  1. Un antivirus possibilmente acquistato e sempre aggiornato.
  2. Un software antimalware possibilmente acquistato e sempre aggiornato.
  3. Il firewall di Windows sempre attivato.
  4. La sicurezza che sul computer non siano installati programmi inutili e nocivi, come le toolbar o le estensioni per i browser Internet (Ask Toolbar e similari).
  5. L'esistenza di una copia di backup dei dati su un supporto normalmente disconnesso come un hard disk esterno o una pennetta USB. Tale supporto deve essere connesso al computer per il tempo strettamente necessario alla creazione o all'aggiornamento del backup.
    Se utilizzi un sistema di Cloud come Dropbox, tieni bene in mente che se i tuoi files vengono crittografati da un malware, vengono poi sincronizzati con il Cloud. Se ti compare quindi una richiesta di riscatto simile a quella di CTB-Locker disconnetti immediatamente il computer da Internet, per tutelare i files sul server cloud.
  6. Un atteggiamento consapevole nell'utilizzo del computer, che presti la dovuta attenzione alle operazioni effettuate, che eviti distrazioni durante l'utilizzo dell'email e che non porti l'utente a scaricare programmi da Internet senza averne controllato attentamente la fonte.

Non mi stancherò mai di dirlo: i dati sul computer sono i tuoi. Proteggili. Sempre.

Considerazioni aggiuntive

L'infezione del malware Cryptolocker è stata debellata senza danni per il mio cliente grazie alla presenza di backup disconnessi, al momento dell'attivazione del malware, dal sistema. Senza questi backup, i files sarebbero stati irrecuperabili ed il danno sarebbe stato ingente.

La presenza di un backup sicuro è presupposto fondamentale per l'integrità dei dati non solo di un ufficio, ma anche di un singolo utente che utilizza per scopi personali il proprio computer.

Pensa al tuo computer di casa. Per anni salvi le foto dei tuoi figli sull'hard disk. Per anni dimentichi di fare un backup. Poi succede il danno. L'hard disk si rompe. Il computer ti viene rubato. Cryptolocker crittografa tutti i tuoi files. Può succedere, e lo sai. Il recupero di un Hard Disk in un centro specializzato costa non meno di 500 Euro. L'acquisto di un PC nuovo costa intorno ai 400 Euro. Il riscatto richiesto da Cryptolocker si aggira sui 500 Dollari.

Un Hard Disk di backup costa meno di 100 Euro.

Pensaci!

La stesura di questo articolo ha richiesto molto tempo. Se lo hai trovato utile e vuoi cliccare su Mi piace o Condividi mi farai cosa gradita. Grazie.

 

© 2015-2018 - Michele Angeletti - Via Antonio Fogazzaro, 10 - 00137 - Roma

Tel: 06.86.89.61.31 - 335.78.74.178