Sicurezza

Il caso Cryptolocker, varianti e nuovi attacchi

Nuova esplosione di infezioni registrate nell’ultimo periodo In azione una variante meno conosciuta  di Cryptolocker

Cos’è? CryptoLocker è un malware comparso nel tardo 2013 ed è una forma di ransomware infettante sistemi Windows, che riesce a criptare i dati della vittima: lo scopo è richiedere un pagamento per la decriptazione. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare.

Alcune vittime sostengono di aver pagato l'attaccante ma di non aver visto i propri file decifrati. Cryptolocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, ma non solo. È l’esempio migliore (o peggiore) di quanto sia importante fare attenzione alle email di spam che arrivano nelle nostre caselle di posta. Come funziona e perché è cosi insidioso? Tecnicamente i ransomware utilizzano un algoritmo crittografico che non è assolutamente in discussione.

L'algoritmo RSA, come gli altri algoritmi asimmetrici, poggia il suo funzionamento sull'uso di una chiave privata e di una pubblica. La coppia chiave privata/chiave pubblica viene utilizzata per cifrare tutti i file personali dell'utente o comunque quelli che hanno specifiche estensioni (.DOC, .XLS, .DOCX, .XLSX, .PDF, .ODT, .MDB e così via). I malware in questione memorizzano la chiave pubblica sul sistema dell'utente mentre mantengono su server remoti, inaccessibili all'utente, la chiave privata. Dal momento che ogni file crittografato con una chiave pubblica può essere decifrato solamente usando la corrispondente chiave privata, gli sviluppatori dei ransomware tengono per loro la chiave privata fornendola eventualmente solo in caso di versamento del riscatto. Qualora l'utente non provvedesse al pagamento del riscatto, trascorsi alcuni giorni, la chiave privata viene cancellata inibendo definitivamente il recupero dei file crittografati da Cryptolocker e simili. L'algoritmo RSA non ha evidenziato debolezze intrinseche: non è quindi possibile sfruttare una sua debolezza per decifrare i file crittografati da Cryptolocker. Il motivo della resistenza dell'algoritmo in questione sta nel suo utilizzo lecito: si tratta infatti della stessa tecnologia sulla quale si basano le transazioni economiche effettuate online. Quando acquistiamo un prodotto su un ecommerce la transazione è assolutamente sicura ed è imprescindibile che lo sia. Ed è questo il motivo per i quale Cryptolocker è difficile da fermare: trovare una falla in questo ransomware significherebbe trovarla anche nel suo utilizzo legale. Documenti e file personali vengono crittografati dai ransomware utilizzando una coppia di chiavi generate dinamicamente utilizzando l'algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit, non è possibile contare su lacune nell'algoritmo. RSA è basato sull'elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è un'operazione molto lenta che richiede un impegno notevole in termini di risorse hardware). RSA-2048 e RSA-4096 (algoritmo RSA con l'utilizzo di chiavi a 2048 e 4096 bit) non sono stati fattorizzati e non lo saranno ancora, presumibilmente, per molti anni, anche considerando i progressi che si stanno facendo nell'ottimizzazione delle risorse computazionali (si pensi alla potenza di calcolo messa a disposizione da molti servizi cloud). Da dove ha origine l’infezione? L'infezione di Cryptolocker si diffonde per diversi motivi:

  • L’utente ha aperto il contenuto di un allegato di una mail ed aperto il programma al suo interno;
  • L’utente ha cliccato sul link all’interno di una mail che scarica così un programma che poi è stato avviato (aperto);
  • L’utente navigando su un sito infetto ha scaricato un programma che poi è stato avviato (aperto).

Cryptolocker non parte da solo, è un programma che deve essere attivato manualmente. Come posso riconoscerlo? Se si viene colpiti da Cryptlocker, è impossibile non accorgersene… rende inservibili documenti, txt, pdf, immagini e cosi via. Si vedranno i file con diverse nuove estensioni come ad esempio .ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .CTBL, .CTB2, .crinf, .XTBL, .encrypted, .crypt, .EnCiPhErEd, .vault, .HA3, .toxcrypt o altre simili composte da  6-7 caratteri casuali, inoltre appariranno schermate o si apriranno immagini che indicano all’utente malcapitato che i propri dati sono stati cryptati e la richiesta del “riscatto” per aver la chiave di decifratura. Questi sono alcuni esempi di come i vostri file possono presentarsi dopo l'attacco: HELP_DECRYPT.TXT, HELP_YOUR_FILES.TXT, HELP_TO_DECRYPT_YOUR_FILES.txt, HELP_RESTORE_FILES.txt HELP_TO_SAVE_FILES.txt, RECOVERY_KEY.txt, DecryptAllFiles.txt, DECRYPT_INSTRUCTION.TXT HOW_TO_DECRYPT_FILES.txt, How_To_Recover_Files.txt, encryptor_raas_readme_liesmich.txt About_Files.txt, DecryptAllFiles_.txt, ReadDecryptFilesHere.txt RECOVERY_FILES.txt, DecryptAllFiles_*******.txt , e simili.

Il modo nel quale sono stati rinominati i file ci permette di capire in quale variante ci siamo imbattuti. Come posso prevenire?

  1. Un atteggiamento consapevole nell'utilizzo del computer, che presti la dovuta attenzione alle operazioni effettuate, che eviti distrazioni durante l'utilizzo dell'email e che non porti l'utente a scaricare programmi da Internet senza averne controllato attentamente la fonte. Come scritto in precedenza, l’infettante Cryptolocker non parte da solo! Attenzione anche a file compressi arrivati in casella di posta senza testo o con testo molto strano, anche da mittenti conosciuti che potrebbero essere stati contagiati; è comune per molti malware usare la rubrica del malcapitato per cercare di diffondersi ulteriormente.
  2. Assicurarsi della presenza di backup, l’unico modo per recuperare i file una volta che vengono criptati è tramite un backup, non esiste nessun programma in grado di decriptare i file senza la chiave di criptazione. E’ necessario però che il backup non collegato al pc (disco usb, disco di rete) poiché Cryptolocker non si ferma ai file locali, ma infetta anche le cartelle remote.
  3. In caso di sospetto ci sono strumenti online, come quello indicato da Trendmicro, dove si ha la possibilità di analizzare il link o l’allegati all’interno della mail ricevendone una rapida identificazione: https://www.virustotal.com/.

   

Aggiungi commento


Codice di sicurezza
Aggiorna