Attenti a quel randsomware sotto l’albero (aggiornato)

Virus sotto l'albero

Aggiornamento:
Per quanto riguarda CryptoLocker è possibile fare un tentativo di decifratura utilizzando le chiavi intercettate dal provider FireEye
http://www.bleepingcomputer.com/forums/t/543518/decryption-keys-are-now-freely-available-for-victims-of-cryptolocker/

Seguendo il link verso https://www.decryptcryptolocker.com/ è possibile caricare un file cifrato per vedere se il sito è in grado di decifrarlo con le chiavi in suo possesso. Se fosse possibile la decifratura, si riceverà chiave e tool di decriptazione via email.

Verificate comunque le istruzioni sulla prevenzione fornite da Kaspersky


Articolo troppo lungo? Vai in fondo al post

UltraCode, CryptoLocker, CryptoWall, Supercrypt, sono solo alcuni dei virus crypter che cifrano i documenti del pc e della rete locale, per poi presentare a schermo una richiesta di riscatto per riavere i propri file.

La peculiarità è che utilizzano delle chiavi di cifratura impossibili da invertire, memorizzate sui server remoti dei malfattori, che poi al termine si cancellano dal computer lasciando solo l’avviso di richiesta di riscatto, rendendo di fatto impossibile la decifratura dei documenti e tantopiù il tracciamento delle attività malevole.

L’unica soluzione che si presenta ai malcapitati è quella di pagare un riscatto, ma nessuno ha la certezza che riavrà i propri file.

Abbiamo interpellato i tecnici Kaspersky per capire i metodi di infezione e le possibili soluzioni.
I punti di accesso
Sempre più spesso il primo punto di accesso di un virus è l’email: grazie al phishing, l’utente è portato a fare clic su link di improbabili corrieri o forze dell’ordine e poco dopo il virus è attivo sul computer del malcapitato.
Esistono anche attacchi più subdoli, tramite accessi wifi non protetti o portatori sani come smartphone o computer Mac, e in alcuni casi ci sono anche attacchi mirati, ovvero Advanced Persistent Threat.
In quest’ultimo caso, i virus vengono modificati leggermente per saltare i controlli classici degli antivirus (poiché la firma dei file viene alterata) e si ripete la procedura più volte finché qualcuno non penetra all’interno della struttura sotto attacco.

Quando il danno è fatto
Una volta infettati, non ci resta che andare a ripescare i nostri backup.
Se fossero rimasti aperti dei documenti durante la cifratura, questi, per via del lock sul file non vengono toccati, quindi appena avete qualche sospetto, evitate di chiudere frettolosamente i vostri database o fogli di calcolo.
Nella maggior parte dei casi, se l’utente ha accesso completo alle share di rete, pure i file in rete saranno cifrati! Se avete dei backup in bella vista, sul vostro NAS preferito, c’è poca speranza.

Fino a qualche tempo fa Kaspersky disponeva di alcuni strumenti per rimuovere la cifratura, ma oggi i malviventi si sono fatti furbi e, con la cancellazione del virus, si portano via anche la chiave di cifratura, che quindi è irrecuperabile. I vari RectorDecryptor, XoristDecryptor, RakhniDecryptor sono oramai raramente utili (http://support.kaspersky.com/viruses/disinfection).

Diffidiamo dal pagare i $300 in bitcoin ai malviventi, poiché la garanzia di ottenere le chiavi di decifratura è nulla. Potrebbero semplicemente essere soldi buttati.

Come aiutare i tecnici Kaspersky
E’ possibile aiutare i tecnici in vari modi: il più semplice è inoltrare a spam@kaspersky.com le email sospette, contenenti link a virus non riconosciuti.
Purtroppo, dal momento che il virus crypter si autocancella, difficilmente troveremo il file che ha permesso la cifratura. Se però i vari motori di Kaspersky trovassero in anticipo dei file sospetti, potremmo trovarli nella quarantena o nei backup. Per evitare che Kaspersky cancelli anche queste tracce, sarà però necessario modificare le impostazioni per non cancellare i file che sono impossibili da disinfettare.

Chi avesse intenzione di collaborare con i tecnici, può comunque aprire un ticket di assistenza e ricevere informazioni dettagliate su dove e come trovare ulteriori indizi del virus.

Come premunirsi
Innanzitutto tenere sempre un backup dei propri documenti “sotto chiave”, o comunque su un dispositivo (che sia di rete o non) non direttamente accessibile.
Per quanto riguarda Kaspersky, mantenerlo sempre aggiornato sia per quanto riguarda le firme antivirus, sia dal punto di vista di release/build/patch.
I moduli di Kaspersky che possono aiutarci a prevenire l’infezione sono System Watcher (Controllo di sistema) e Application Privilege Control (Controllo Privilegi Applicazioni).
Tramite Application Privilege Control è possibile inserire le cartelle dei propri documenti tra le risorse protette, per cui se ci fosse un accesso non autorizzato, il programma malevolo sarebbe subito bloccato.
La cosa è configurabile sia dal client stesso che tramite console di amministrazione.

Evidentemente, tenere attivi System Watcher e Application Privilege Control può risultare in un rallentamento del PC, soprattutto se si utilizza hardware datato.

Purtroppo ad attacchi più potenti ci si può difendere solo con mezzi più potenti e questi costano in termini computazionali ed economici: per il momento, cerchiamo di non farci andare di traverso il panettone!

Tutti i dettagli tecnici: dalla prevenzione, al post infezione, sono disponibili in inglese sul sito Kaspersky all’indirizzo: http://support.kaspersky.com/10905