Informativa

Questo sito, o gli strumenti terzi da questo utilizzati, si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy.
Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie consulta la cookie policy.cookie policy.
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.

Come funziona Cryptolocker

e come difendersi se colpiti

Premessa

Ho parlato di Cryptolocker (o CTB-Locker) in un recente articolo (leggi), evidenziando alcuni aspetti estremamente preoccupanti di questo malware del riscatto.
Si tratta di un malware che viene spedito come allegato ad un messaggio di posta elettronica. Se l'allegato viene aperto in un computer privo di adeguate protezioni, il malware si innesca e procede a crittografare tutti i files presenti nel computer, rendendoli inutilizzabili. Per poterli recuperare, il malcapitato utente è invitato a pagare un riscatto, in cambio del quale gli viene fornita una chiave che permette di rimuovere la crittografia dai files infetti.
Nell'articolo precedente mi sono soffermato su alcuni aspetti morali, sottolineando il fatto che pagare per riavere indietro i propri files permette a bande di delinquenti di finanziare le proprie attività illecite, rendendoci in qualche modo complici.
Oggi invece spiegherò passo passo come avviene l'infezione, come si propaga, come ci si accorge della presenza del malware, come vengono attaccati i files e, soprattutto, come possiamo scoprire quali siano i files infetti senza doverli aprire uno ad uno.
Ho avuto modo di affrontare questo virus nell'ufficio di un mio cliente, ed ho avuto la possibilità di approfondire un argomento estremamente delicato, riuscendo così a capire a fondo il suo funzionamento e a predisporre adeguati mezzi di difesa per evitare, in futuro, di sottovalutare Cryptolocker.
Ma procediamo per gradi.

I sintomi

Due settimane fa vengo contattato da un cliente. Mi viene spiegato che un computer è estremamente lento nell'utilizzo. Si avvia normalmente ma poi diventa inutilizzabile. Non si riesce a fare nessuna operazione in tempi accettabili.
Il giorno seguente mi reco dal cliente e svolgo la mia procedura standard di controllo per verificare la natura del problema. Il computer è effettivamente lentissimo, la spia dell'hard disk è accesa fissa e tutto sembra andare al rallentatore. Dopo pochi minuti scopro la causa del malfunzionamento: un malware è attivo e sta sfruttando le risorse del computer per qualche scopo illecito.
Lo blocco e lo rimuovo. Riavvio il computer e tutto funziona normalmente. Ma il nome del malware trovato mi fa tremare. Cryptolocker. So bene che di fronte ad un simile malware, la rimozione diventa estremamente delicata. Per vari motivi. Il principale è che se si rimuove completamente il malware non è più possibile procedere con il pagamento del riscatto e, quindi, rientrare in possesso dei files che sono stati crittografati.
Me ne infischio. Avevo appena migrato i dati dal vecchio al nuovo server, ed avevo tenuto due copie di riserva. Una sul vecchio server, che era rimasto spento. Una su un hard disk esterno. Che era stato staccato dal computer e messo da parte.
Al massimo avrei perso qualche file recente, e la cosa non mi dava alcuna preoccupazione.

La conferma

Rimosso il malware, inizio l'ispezione dei files e delle cartelle del computer infetto. E posso constatare la prima cosa. Cryptolocker crittografa i dati presenti nei files, ma non ne altera in alcun modo il nome, l'estensione, la data e gli attributi. Quindi navigando tra le cartelle con Esplora risorse non ci si accorge di nulla. O quasi. Perchè anche se i files esternamente non sembrano cambiati, appaiono in ogni cartella infetta dei files che fugano ogni dubbio.
 
 
I files sono 4 e si chiamano tutti HELP_DECRYPT. Per essere sicuri che vengano letti, gli autori del malware hanno ben pensato di crearne 4 tipi diversi: uno in HTML, uno in formato immagine PNG, uno in semplice formato testo TXT ed uno che altro non è che un link diretto ad uno dei siti volanti dove è possibile pagare il riscatto.
I tre files con estensione HTML, PNG e TXT contengono lo stesso messaggio, che riporto di seguito:
 
 
Sono, in pratica, le istruzioni da seguire per pagare il riscatto e procedere con l'eliminazione della crittografia.
I quattro files vengono creati in ogni cartella colpita dal malware.
Tornando alla prima figura dell'articolo, provo ad aprire il file readme.txt per verificare come si presenta, essendo sicuro che si tratta di un file crittografato. Eccolo una volta aperto:
 
 
Come è facile notare, il contenuto è completamente illeggibile. La crittografia sostituisce i caratteri standard con caratteri simili agli ideogrammi, utilizzando un algoritmo di crittografia univoco e impossibile da decifrare.
Provo allora ad aprire da un'altra cartella infetta un file PDF crittografato. Questo è il messaggio che compare in Adobe Reader:
 
 
Per curiosità, provo ad aprire un file DOC di Word infetto. Ecco cosa succede all'apertura:
 
 
Non nascondo di aver provato emozione di fronte a quanto stava succedendo. Per la prima volta potevo toccare con mano il famigerato Cryptolocker.

La diffusione

Cryptolocker è entrato nel sistema ed ha fatto danni. Rimane un problema, non piccolo. Come faccio a capire quali sono le cartelle ed i files infetti? Come posso determinare con sicurezza la diffusione del malware?
Prima di procedere a ripristinare i files danneggiati dalle cartelle di backup (il vecchio server o l'hard disk esterno) devo essere sicuro di andare ad agire velocemente sulle cartelle infette.
Mi viene in mente un primo metodo. Verifico la presenza in tutte le cartelle del computer infetto dei 4 files di nome HELP_DECRYPT. Teoricamente i 4 files appaiono solamente laddove l'infezione ha colpito.
Da una prima analisi il ragionamento funziona, e mi rendo facilmente conto di una cosa: Cryptolocker ha attaccato i files in maniera da distribuire la diffusione su tutte le unità disco presenti nel sistema. Sono stati crittografati files presenti sul disco C:, nel disco di rete Z; e nella chiavetta USB della firma digitale F: connessa al computer al momento dell'infezione. Cryptolocker si è quindi propagato immediatamente in tutte le direzioni, aggredendo tutte le unità connesse al sistema.
Il problema si complica: devo indagare su più direzioni e controllare contemporaneamente più unità disco per procedere al riconoscimento dei files crittografati.

L'elenco completo dei files crittografati

Mi fermo a ragionare. E mi viene in mente un aspetto da non sottovalutare. Cryptolocker chiede un riscatto per ripristinare i files crittografati. Quindi deve tenere traccia dei danni provocati per poter intervenire durante l'eventuale ripristino a seguito del pagamento del riscatto.
Devo indagare, e per farlo apro il Registro di Configurazione di Windows. Bastano pochi click e mi trovo di fronte ad una sorpresa piacevole. Cryptolocker tiene traccia dei suoi movimenti, creando nel Registro una sezione nella quale scrive delle informazioni importanti.
In una prima chiave scrive il contenuto dei 4 files HELP_DECRYPT, in una sottochiave scrive invece il percorso ed il nome di tutti i files che sono stati crittografati.
Nell'immagine seguente è possibile vedere la prima chiave:
 
 
Nella successiva immagine è possibile vedere, invece, l'elenco dei files crittografati:
 
 
Esportando la sottochiave di Registro è possibile salvare l'elenco completo in un file TXT.
Leggendo il contenuto del file TXT possiamo trovare anche una comoda numerazione (Valore) che ci permette di quantificare i danni.
 
 
Nell'infezione affrontata sono stati crittografati, prima della rimozione del malware, 1081 files.
Come si vede dall'ultima immagine, Cryptolocker ha agito anche su files presenti nel cestino, per i quali non si è posto il problema del recupero.

Il recupero

Trovato l'elenco, ho cominciato a ripristinare dai backup a disposizione i files, ed in poche ore ho riportato la situazione alla normalità.
Il recupero è stato reso possibile dalla presenza di supporti di backup non connessi al momento dell'infezione. Come già detto, il vecchio server era rimasto spento dopo la migrazione dei dati sul nuovo, ed il disco USB utilizzato per una ulteriore copia di sicurezza era staccato. Quindi il malware non ha potuto attaccare questi supporti. E questo aspetto deve essere tenuto bene a mente: un backup, per essere efficace, deve essere fatto su supporti che vengono connessi solamente per il tempo strettamente necessario all'esecuzione della procedura di backup, previa verifica che il sistema sia pulito.

Come si è attivato Cryptolocker

L'infezione di Cryptolocker si è potuta diffondere per due motivi. Il primo è che l'utente del computer ha aperto un allegato non sicuro. Il secondo è che il computer non era difeso da adeguati software antivirus ed antimalware.
Ed ecco l'ennesima predica: se dubitate del mittente di un'email, non aprite allegati in essa contenuti. Se un'email contiene allegati sospetti, non li aprite. Se vi viene offerto, tramite email, un guadagno economico, dubitate del suo contenuto. Insomma, per essere sicuri dobbiamo dare retta ai consigli dei nostri genitori: non dobbiamo accettare caramelle dagli sconosciuti. Il problema è che, spesso, le caramelle ci vengono offerte attraverso falsi messaggi di posta provenienti da persone che conosciamo.

Come difendersi

L'ho già scritto e lo ripeto testualmente. Per tutelarsi bisogna predisporre sul proprio computer:
  1. Un antivirus possibilmente acquistato e sempre aggiornato.
  2. Un software antimalware possibilmente acquistato e sempre aggiornato.
  3. Il firewall di Windows sempre attivato.
  4. La sicurezza che sul computer non siano installati programmi inutili e nocivi, come le toolbar o le estensioni per i browser Internet (Ask Toolbar e similari).
  5. L'esistenza di una copia di backup dei dati su un supporto normalmente disconnesso come un hard disk esterno o una pennetta USB. Tale supporto deve essere connesso al computer per il tempo strettamente necessario alla creazione o all'aggiornamento del backup.
    Se utilizzi un sistema di Cloud come Dropbox, tieni bene in mente che se i tuoi files vengono crittografati da un malware, vengono poi sincronizzati con il Cloud. Se ti compare quindi una richiesta di riscatto simile a quella di CTB-Locker disconnetti immediatamente il computer da Internet, per tutelare i files sul server cloud.
  6. Un atteggiamento consapevole nell'utilizzo del computer, che presti la dovuta attenzione alle operazioni effettuate, che eviti distrazioni durante l'utilizzo dell'email e che non porti l'utente a scaricare programmi da Internet senza averne controllato attentamente la fonte.
Non mi stancherò mai di dirlo: i dati sul computer sono i tuoi. Proteggili. Sempre.

Considerazioni aggiuntive

L'infezione del malware Cryptolocker è stata debellata senza danni per il mio cliente grazie alla presenza di backup disconnessi, al momento dell'attivazione del malware, dal sistema. Senza questi backup, i files sarebbero stati irrecuperabili ed il danno sarebbe stato ingente.
La presenza di un backup sicuro è presupposto fondamentale per l'integrità dei dati non solo di un ufficio, ma anche di un singolo utente che utilizza per scopi personali il proprio computer.
Pensa al tuo computer di casa. Per anni salvi le foto dei tuoi figli sull'hard disk. Per anni dimentichi di fare un backup. Poi succede il danno. L'hard disk si rompe. Il computer ti viene rubato. Cryptolocker crittografa tutti i tuoi files. Può succedere, e lo sai. Il recupero di un Hard Disk in un centro specializzato costa non meno di 500 Euro. L'acquisto di un PC nuovo costa intorno ai 400 Euro. Il riscatto richiesto da Cryptolocker si aggira sui 500 Dollari.
 
Un Hard Disk di backup costa meno di 100 Euro.
 
Pensaci!

Orario di apertura negozio:

Mattino 8.30 - 12.00 
Pomeriggio 14.30 - 19.00

dal lunedì al venerdì.

 

Per richiedere assistenza tecnica:

chiama al numero 0463 - 83.04.64

scrivi a: assistenza@dimensionecomputer.it
collegati con Iperius Remote Weba questo link.

 

Senza ombra di dubbio.

"I computer sono incredibilmente veloci, accurati e stupidi. Gli uomini sono incredibilmente lenti, approsimativi e intelligenti. L'insieme dei due costituisce una forza incalcolabile."
Albert Einstein