Le minacce provenienti dal web sono sempre più raffinate ed al contempo pericolose. Non ultima, ma sicuramente una delle più temute negli ultimi periodi, il Trojan Software (comunemente denominato virus) CryptoLocker. Questo prodotto, di derivazione apparentemente statunitense, rappresenta un sottilissimo e sofisticato strumento di ricatto incredibile. Arriva generalmente tramite e-mail sotto forma di file in allegato .zip o pdf e si insinua all’interno dei sitemi operativi Microsoft© nei sottostrati dello User Interface e inizia a criptare pian piano tutti i files all’interno di cartelle dell’utente interessato, con un formato a 2048bit che impedisce praticamente ogni forma di decriptaggio conosciuto.
E qui inizia il ricatto: l’organizzazione a delinquere che c’è sotto invia messaggi di richiesta di riscatto (mediamente 3.500 dollari) per inviare i codici di sblocco per riprendere possesso dei contenuti presi in ostaggio.
Di seguito i dettagli con in fondo i nostri modesti ma utili consigli per non incappare in questa singolare e tragica situazione al tempo stesso.
Funzionamento
CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.
Al primo avvio, il software si installa nella cartella Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.
Conseguenze
Anche se CryptoLocker venisse rimosso subito, i file rimarrebbero criptati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga un backup non compromesso.
Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma e che permette di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l’invio di un file criptato al server come campione, la cui corrispondenza sia verificabile nell’arco delle successive 24 ore. Una volta trovata la chiave l’utente potrà comprarla online nelle successive 72 ore, alla cui scadenza il costo verrà aumentato a 10 bitcoin (che ai primi di novembre 2013 valgono circa 3500 USD).
Mitigazione del danno
A dispetto del fatto che le suite di sicurezza siano progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto o lo sia solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus venga distribuita. Se si sospetta un attacco o questo è ai primi stadi, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware (un procedimento relativamente semplice) prima del completamento della suddetta cifratura può significativamente ridurre la perdita di dati. Gli esperti consigliano di prendere misure preventive, come usare programmi o politiche di sicurezza che impediscano a CryptoLocker d’essere lanciato.
A causa della natura delle operazioni di CryptoLocker, alcuni esperti, sebbene con riluttanza, affermano che pagare sia l’unico modo per riavere i file, in assenza di un backup di ricostruzione (particolarmente un backup offline inaccessibile da rete, o la protezione continua dei dati di Windows ‘windows shadow copy’). A causa della lunghezza della chiave utilizzata, si considera praticamente inefficace un attacco a forza bruta per ottenere, senza pagare, quella necessaria alla decifratura dei file. Il worm è simile al 2008 Gpcode.AK, che usava una chiave a 1024 bit, considerata abbastanza grande da risultare indistruttibile senza uno sforzo organizzato e distribuito, o senza la scoperta di un ‘flaw’ utilizzabile per decifrarla. Nel tardo ottobre 2013 Kaspersky Labs ha riportato che un DNS Sinkhole è stato creato per bloccare alcuni dei domini di CryptoLocker.
Consigli
- Cestinare qualsiasi messaggio e-mail il cui mittente non sia certificato o conosciuto
- Dubitare di e-mail di mittenti conosciuti con un layout (formato o stile grafico) poco riconducibile al modo di scrittura usuale
- E’ assolutamente consigliato procedere con backup dei dati e delle procedure che quotidianamente vengono utilizzate attraverso l’utilizzo di unità esterne asportabili dalle proprie postazioni informatiche, oltre alla consueta procedura di copie dei database del vostro ERP
- Dotarsi di sistemi di backup NAS (Network Attached Storages) con Files Systems nativi LINUX o UNIX Based
- Aggiornare costantemente il vostro sistema antivirus con le definizioni più recenti
Avete dubbi o situazioni critiche da gestire? Contattateci
