Ondata di email virus: ransomware e il virus Cryptolocker

Send Us a Sign! (Contact Us!)
Word PDF XPS XML

Giunge via email, con testo credibile e allegato CAB , ZIP o PDF: è il virus ransomware, nella variante Cryptolocker. Ecco come funziona.

Una nuova minaccia sta intaccando la sicurezza dei PC e dei dispositivi mobile di mezzo pianeta e, come spesso accade, la diffusione avviene via email, attraverso un virus di tipo ransomware, nella variante Cryptolocker o CTB Locker (il virus colpisce solo il sistema operativo Windows).

Per chi non sapesse cosa siano i ransomware, nella casella del malcapitato giunge una missiva elettronica di un corriere o di un ente che promette un rimborso con un allegato che sembra una fattura, un ordine o un ordine da saldare. Finchè il testo dell’email è giunto in inglese o in italiano poco corretto, era facile individuare la truffa ed evitare l’apertura dell’allegato. Da alcuni giorni circa, però, le email giungono agli utenti italiani in corretto stile grammaticale e diviene dunque complicato distinguere la missiva di phishing da una reale.

L’utente, ingenuamente, apre l’allegato e in quel esatto momento inizia l’infenzione. Il virus prende possesso dei file presenti sul PC dell’utente colpito (soprattutto file Word ed Excel) e ne cripta il contenuto. L’utente non si accorge subito del misfatto, ma solo dopo qualche tempo, quando tenta di aprire i file che sono stati crittografati con una chiave sconosciuta. All’apertura dei file contagiati, compare questa schermata:

Ondata di email virus: ransomware e il virus Cryptolocker

Si tratta di una richiesta di riscatto (il termine ransom, infatti, in inglese significa riscatto) con cui gli hacker che hanno messo in piedi la truffa chiedono un pagamento (spesso in BitCoin, con cifre che possono anche superare i 100 dollari) per rilasciare la chiave di decifratura e restituire i file con il loro contenuto intatto ai leggitimi proprietari.

Come funzionano i virus ransomware, fra crittografia e riscatto

L’urgenza indiscussa nel messaggio fa pensare agli utenti che non vi sia altra via di fuga se non cedere al ricatto e pagare il riscatto. Infatti, con il messaggio di infezione, gli hacker minacciano che se il pagamento del riscatto richiesto non avviene entro un certo numero di ore, i file rimarranno crittografati per sempre.

Con il pagamento, quindi, si dovrebbe ottenere la passphrase (o chiave privata) che permette di decrittografare i file e i documenti presi d’ostaggio.

I file allegati da cui parte l’infenzione si presentano per ora in formato CAB o ZIP o PDF e hanno nomi simili ai seguenti:

  • fattura10BA111.cab
  • sollecitazione239C120.cab
  • domanda8603294.cab
  • bill48ED0CE.cab
  • charge6565840.cab
  • requisito54F90CE.cab
  • realizzazione62CB8D1.cab

Mentre i file infetti vengono rinominati e l’estensione si modifica in CTBL o CTBL2 oppure ENCRYPTED, anche se i nuovi metodi usano estensioni randomiche come .ftelhdd or .ztswgmc.

Quando l’algoritmo CTBL individua un file supportato lo crittografa con una tecnica di crittografia di tipo eliptical curve.

Il successo di questa tipologia di infezione si basa su tre cardini:

  • l’ingenunità dell’utente che crede al contenuto dell’email e ne consulta l’allegato (evitabile usando un pò di buon senso ed attenzione al testo della mail).
  • l’incapacità degli antivirus di riconoscere l’attuale variante del virus (Cryptlocker o CTB Locker).
  • l’effettiva incapacità di decrittografare i file codificati.

Per chi è stato affetto dal problema, però, prima di procedere al pagamento del riscatto (che ricordiamo non offre la sicurezza di ottenere la passphrase per la decrittografia) è possibile fare qualche tentativo di ripristino del sistema.

Come tentare di combattere un virus ransomware

Per prima cosa, conviene rimuovere l’infezione virus, eliminando qualsiasi eseguibile dalla cartella dei temporanei di sistema e ripulire il PC dai task nascosti presenti nel Task Manager. Dopo aver rimosso l’infezione, bisogna procedere con il recupero dei file crittografati.

Qui si procedere con tre metodi differenti:

  1. avere a disposizione un backup dei file colpiti (la cui lista è di solito visionabile nel messaggio di riscatto) e ripristinare il salvataggio.
  2. Poiché il virus CTB Locker prima di crittografare i file ne effettua una copia ed elimina i file originali, sarebbe possibile usare alcuni software di recupero dati come R-Studio o Photorec, per verdere se c’è ancora qualche traccia dei file cancellati. Soprattutto nei sistemi Windows, infatti, i file non vengono fisicamente eliminati dai settori dell’hard disk, ma vengono solo rimossi i loro riferimenti dalla tabella di allocazione, in modo che non siano più visibili all’utente.

Se nessuno di questi metodi è applicabile, allora non c’è molto da fare. D’altra parte, molti provider, come lo stesso QBoxMail, visto l’incremento di traffico fra gli utenti che reputano credibile l’email, hanno bloccato a livello server tutti gli allegati che contengono un file .CAB.

Un altro metodo di prevenzione è l’uso del tool gratuito CryptoPrevent di FoolishIT LLC (di cui troverete l'ultima versione disponibile (al 2 Settembre 2015) al termine di questo articolo) che configura delle regole di restrizione ai percorsi file per i software eseguiti sul sistema.

Ondata di email virus: ransomware e il virus Cryptolocker

Insomma, come al solito le regole basilari sono quelle che funzionano meglio contro tutti i virus: prudenza, arguzia, meno ingenuità nella consultazione della posta elettronica e un buon backup effettuato prima della disgrazia!

Download

Il seguente download consente di ottenere una copia (ospitata su Heelpbook.net) di CryptoPrevent in modo da potersi proteggere dai pericolosi ransomware (consigliamo la modalità Maximum Security).
[wpfilebase tag="file" id="228"]

1 thought on “Ondata di email virus: ransomware e il virus Cryptolocker”

  1. In un vicinissimo futuro non saranno più i furti in casa a dover spaventare, probabilmente, bensì ricatti diretti per poter riottenere l’accesso ai propri dati. E’ la nuova frontiera del malware: i ransomware.

    Per sfuggire a queste truffe ed inganni online qual è la migliore arma in nostro possesso? Il buon senso e l’attenzione a ciò che leggiamo.

    Ondata di email virus: ransomware e il virus Cryptolocker – http://heelpbook.altervista.org/2015/ondata-di-email-virus-ransomware-e-il-virus-cryptolocker/ #security #computing #encryption #microsoft #windows @heelpbook

Comments are closed.