Purtroppo ieri mi è capitato di andare in un’azienda che si è imbattuta in questo “brutto” attacco informatico chiamato CryptoLocker. Perciò volevo condividere alcune informazioni che ho trovato in rete che spero possano tornare utili.
Ma cos’è CryptoLocker e cosa fa?
CryptoLocker è un Programma/Virus per Windows che si sta diffondendo sempre più rapidamente dal settembre 2013. In sostanza crittografa i file presenti sull’HD ( e periferiche connesse e mappate) e li rende illeggibili, a meno che tu paghi un vero e proprio riscatto.
Il virus si manifesta o con una finestra o con un file di testo presente in quasi tutta la gerarchia di cartelle in cui ti dice che ha criptato i file per renderli di nuovo leggibili. Qui sotto un esempio:
If you are seeing this text file, then all your files have been LOCKED with the most strongest military cipher. All your data – documents, photos, videos, backups – everything in ENCRYPTED.
The only way to recover your files – contact us via *******@onionmail.in
Only WE have program that can completely decrypt your files.
Attach to e-mail:
1. Text-file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you OUR CONDITIONS and your decrypted file as proof that we actually have decryptor.
Remember:
1. The FASTER you will CONTACT US – the faster you will RECOVER YOUR files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FILES.txt"
3. If you haven’t received reply from us – try to contact us via public e-mail services such as Yahoo or so.”
Quando CryptoLocker entra in funzione, inizia a crittografare i tuoi file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave. Il pagamento richiesto (di solito qualche centinaia di euro) è in BitCoin i quali hanno transazioni sicure e non rintracciabili, quindi tutti i tentativi di individuare gli autori sono vani.
Dopo il pagamento, se tutto va bene, inizia il processo di decriptazione dei file.
Metodo di “infezione”
Il metodo di infezione è di solito tramite Email: capita di ricevere un messaggio apparentemente legittimo, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a fidarti contenente un allegato con un nome verosimile, come fattura.pdf.exe oppure invoice4455.zip.exe. Una volta aperto l’allegato, i tuoi file verranno criptati.
La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \\nome_server\condivisione).
Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati.
Quindi non resta che pagare qualche centinaio di euro entro i tempi stabiliti dal programma stesso, altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale.
Prevenzione
Ci sono delle azioni preventive che si possono adottare per cercare di non “inciampare” in CryptoLocker.
E’ possibile innanzi tutto implementate le policy di Active Directory affinché vengano eseguiti solo determinati eseguibili in questo modo l’eventuale esecuzione dell’allegato infetto verrebbe bloccata.
Esiste anche un programmino per facilitare l’applicazione di queste policy (istruzioni per l’utilizzo).
Un’altra cosa fondamentale sono i Backup! Considerato che CryptoLocker non riesce a propagarsi sulla rete, a meno che le unità siano mappate, sarebbe consigliabile fare il backup su Nas o su Unità fuori sede/cloud oppure usate sistemi a Nastro come LTO o DAT.
Avere un backup consistente fuori dall’azienda, ad esempio, vi permetterebbe di ripristinare i file senza problemi.
Inoltre è cosa buona e giusta “clonare” sempre tutto l’indispensabile in un disco esterno almeno una volta al mese o piu’. Esistono anche qui tanti programmi per la clonazione (alcuni anche free) tra cui EASEUS Disk Copy, Acronis, Macrium Reflect, Seagate Disc Wizard , Redo Backup & Recovery, Clonezilla, hd clone. Chi vuol rimanere in casa Microsoft può tranquillamente usare il tool di Windows 7 o 8.
Possibile risoluzione:
Per fortuna, per alcune varianti del virus è disponibile una soluzione, tramite il sito www.decryptcryptolocker.com, che permette di decifrare i file cifrati dal virus gratuitamente.
L’operazione, per chi volesse approfondire si chiama Tovar , nella quale le società FireEye e Fox-IT che hanno avuto accesso ai server dell’FBI e a moltissime chiavi RSA usate per cifrare milioni di file hanno creato un sito per decriptare gratuitamente i file cifrati da Cryptolocker.
Ecco come funziona il servizio per chi desidera recuperare i propri file senza pagare il riscatto
- Collegarsi al sito www.decryptcryptolocker.com;
- inserire un indirizzo email valido e caricare un file cifrato da Cryptolocker;
- il servizio manda una email che contiene: una chiave di decodifica; un link per scaricare il programma decryptolocker.exe.
- Una volta scaricato il programma, occorre digitare sul prompt dei comandi:
Decryptolocker.exe – key “< key >” < nome_file_cifrato >
Ricordo che esistono molte varianti del virus quindi non è detto che si riesce a venirne fuori indenni, ma in ogni caso tentare non nuoce!
Maggiori informazioni a questi link:
Primo Link; Secondo Link; Terzo Link; Quarto Link