Magazine Media e Comunicazione

Cryptolocker: Cos’è e come funziona

Creato il 10 febbraio 2016 da Paolo Dolci @capn3m0

cryptolocker

Cos’è CryptoLocker?

CryptoLocker (o CTB-Locker) è un potente virus (in realtà tecnicamente un “trojan”) individuato per la prima volta nel 2013. Lo scopo di questo virus è quello di criptare i file del Pc Windows della vittima e successivamente richiedere il pagamento di un riscatto per poter riavere i propri documenti e foto utilizzabili. Il virus fa parte di una categoria di virus detti “ransomware“ ossia una tipologia di virus che richiede un riscatto per poter rimuovere l’infezione. Questo trojan è comparso verso la fine del 2013 e infetta i sistemi Windows: secondo Symantec è stato stimato che il 3% delle persone colpite da CryptoLocker hanno scelto di pagare per avere indietro i propri dati. Perché parliamo nel 2016 di un virus del 2013? Perché tra la fine del 2015 ed oggi i casi di infezione da questo virus sono aumentati drasticamente ed è quindi importantissimo essere documentati e informati al riguardo prima di ritrovarvi con i vostri dati criptati e una richiesta di riscatto di 500 Euro. Questo devastante virus ha avuto tante versioni e aggiornamenti e quella attualmente in circolazione, chiamata TeslaCrypt 3.0, a differenza di quelle precedenti (TeslaCrypt 1.0 e 2.0) ha la peculiarità di non permettere il decrypt dei dati, cosa che invece bene o male si riusciva a fare con le versioni precedenti.

Come infetta il PC?

CryptoLocker infetta i soli Pc Windows e il mezzo di propagazione con cui si diffonde sono le email, in genere gli allegati alle email ma talvolta il programma infetto viene scaricato da un link contenuto nella mail stessa. Nei casi di infezione che abbiamo potuto osservare l’infezione è avvenuta sempre a seguito della ricezione di un’email da un contatto “amico” (fornitore, società di servizi, etc) che ci allegava un file “.zip” (spesso il nome è cvx.zip ma possono cambiare di continuo). Se si scarica e apre il file allegato automaticamente partirà l’infezione e, quindi, la criptazione dei nostri file. Una volta avvenuta la codifica troveremo tutti i nostri file con una nuova estensione aggiunta: “.micro”. Ciò significa che i file sono stati criptati e che se proveremo ad aprirle risulteranno illeggibili fino a che non avremo trovato la chiave di decrypt e/o pagato il riscatto. Quando viene avviato per la prima volta si installa nella cartella dei Documenti con un nome casuale: aggiunge poi una chiave al registro che consente l’avvio automatico. In seguito TeslaCrypt 3.0 cerca di connettersi ad uno dei server di comando per scambiare la chiave di cifratura con cui verranno “bloccati” tramite codifica i documenti. Una volta avviato, anche se viene rimosso subito dopo, sarebbe del tutto inutile in quanto i file rimarrebbero criptati e la l’unica chiave di decrypt è in possesso dei malintenzionati che hanno creato il virus.

Come proteggersi da CryptoLocker TeslaCrypt 3?

L’utilizzo di un buon Antivirus è sempre consigliato unito ad una buona dose di buonsenso. Se riceviamo email con allegato dai nostri contatti fidati verifichiamo sempre che sia realmente indirizzata a noi e che non sia un’email partita in automatico dal virus. E’ difficile poter elencare le verifiche da fare ma proviamo a riassumerle alcune:
  • Verificare che l’email sia indirizzata solo a noi e non a liste di contatti come sta capitando nel caso di quest’ultima ondata di infezioni;
  • Verificare che ci siano dei testi “convincenti” nell’email ossia che il testo sia realmente indirizzato a noi e faccia riferimento a questioni in essere con il mittente. Spesso abbiamo visto che le email inviate sono vuote o con contenuti molto poveri (una data e ora, una breve frase di per sé senza senso, etc);
  • Prima di aprire l’allegato verifichiamo che effettivamente tra il mittente e noi doveva avvenire questo scambio di file. Se il mittente è un nostro fornitore che di solito ci manda fatture PDF o DOC e oggi abbiamo ricevuto un’email con poche spiegazioni e un file “zip”, forse è il caso di fare una chiamata al fornitore e non aprire il file.

Come decriptare i file se sono stato colpito da CryptoLocker?

Purtroppo al momento non ci sono soluzioni per decriptare i file colpiti dalle ultime generazioni del virus CryptoLocker, come ad esempio TeslaCrypt 3.0. I file come indicato in precedenza vengono criptati con una chiave RSA a 4096 bit e l’unica chiave per il decrypt è in possesso degli hacker pertanto non è possibile ottenere i file in chiaro senza tale chiave. Da ciò si deduce che al momento l’unico modo è quello di pagare il riscatto e sperare che la procedura funzioni dato che ci sono testimonianze anche di persone che hanno pagato il riscatto ma non hanno comunque recuperato i file. Ovviamente noi di WebSec non vogliamo invitarvi a pagare il riscatto di questo ransomware ma se i dati criptati sono di vitale importanza e non avete copia di backup, purtroppo, questo potrebbe essere l’unico modo.

Come recuperare i file del mio PC colpito da CryptoLocker TeslaCrypt 3?

Purtroppo l’unica risposta che al momento ci sentiamo di dare è “Backup“. Visto che allo stato attuale non sono ancora presenti fix a questo virus i file criptati non sono recuperabili se non pagando. L’alternativa gratuita quindi è quella di avere sempre una copia di backup dei propri dati più sensibili e, quando si verificano situazioni come queste create da CryptoLocker, si procede con la formattazione e il recupero dei file da backup.

Cosa fare se vengo colpito da CryptoLocker?

Se il tuo Pc viene colpito da CryptoLocker nell’ultima versione TeslaCrypt 3 il nostro consiglio è quello di condividere le informazioni con gli esperti di sicurezza che stanno seguendo da vicino questa ondata di infezioni. Negli anni passati quando erano in circolazione le vecchie versioni di CryptoLocker diversi esperti di sicurezza unirono le forze per fare “fronte comune” alla diffusione di questo virus e in diverse occasioni grazie a questo lavoro congiunto, si riuscì a trovare una soluzione al virus senza dover pagare riscatti o altro. Questa nuova versione è diversa e più sofisticata e pertanto sarà necessario del tempo prima di poter individuare un modus per poter proteggersi dal virus o per decriptare i file compromessi da CryptoLocker. Il nostro consiglio, quindi, è di condividere la vostra esperienza e le vostre informazioni con chi si occupa di questo così da aiutarlo nel velocizzare lo studio di questo devastante virus. Vi invitiamo ad inviare le vostre segnalazioni e le informazioni tecniche seguendo la procedura indicata in questa pagina del sito Ransomware.it:

Segnalazioni CryptoLocker TeslaCrypt 3.0

Si ringrazia Paolo Dal Checco di Ransomware.it e Di. Fo. B. per il supporto nella stesura di questo articolo.  

Ritornare alla prima pagina di Logo Paperblog