Attenti a cryptolocker, virus molto molto bastardo

mima85 04-11-13 10.21
Leggevo poco fa a proposito di un virus ransomware, che si chiama CryptoLocker, che una volta infettata la macchina cripta i vostri documenti personali (quindi fotografie, documenti vari, MP3, video, ecc...) con una chiave a 2048 bit, che viene in seguito memorizzata su un server, e richiede il pagamento di una somma compresa tra i 100 ed i 300 euro entro 4 giorni per riottenere indietro quanto di legittimo ci appartiene. Se non si paga entro questo termine la chiave viene eliminata dal server ed i file non saranno mai più accessibili.

Questa non è una bufala, l'infezione ha cominciato a diffondersi in questi ultimi mesi e colpisce per ora solo i sistemi Windows (ma per gli altri probabilmente è solo questione di tempo, a dipendenza di quel che ha deciso o deciderà il suo sviluppatore). Il virus viene veicolato via E-Mail come allegato compresso ZIP, contenente un file che apparentemente è un PDF, ma in realtà è un eseguibile. L'E-Mail sembra provenire da grandi ditte (DHL, ecc...), ma è in realtà una trappola per indurre l'ignaro utente ad aprire il file allegato e lanciare l'infezione.

In questa pagina (in inglese) ci sono ulteriori informazioni su questa infezione e su come prevenirla (col Policy Editor di Windows bisogna inibire l'esecuzione di file eseguibili da determinati percorsi, è spiegato come farlo manualmente ma c'è anche a disposizione un'utility, scaricabile dalla stessa pagina, che fa questo lavoro automaticamente).

Purtroppo una volta infetti le uniche vie per recuperare i file sono o pagare la somma richiesta, o ripescarli da qualche copia di sicurezza, quindi, e lo ripeterò fino alla nausea, fate backup, backup, e ancora backup, oltre a tenere aggiornata la protezione antivirus e fare attenzione agli allegati che arrivano per posta.

E attenzione, perché il virus è in grado di andare a cercare e criptare file anche in tutte le condivisioni mappate come unità di rete sulla macchina, di conseguenza quel NAS su cui fate i backup e che in Windows vedete come disco con tanto di lettera, non è al sicuro. Quindi oltre al NAS sarebbe opportuno avere una seconda copia offline su un disco USB che tenete spento e staccato da computer e rete.

State in campana gente.

Certo che ad avere tra le mani colui che ha sviluppato 'sta roba... gliene darei... ma quante gliene darei, fino a fargli sembrare la faccia una zampogna emo
Edited 4 Nov. 2013 9:27
ROLL 04-11-13 11.57
Recentemente è proprio successo all'azienda (una grossa azienda) dove lavora mia moglie: hanno chiesto una sorta di "riscatto" di 5.000 € per liberare il sistema dal virus...

ma da alcune indagini sembra che in passato, seppur a pagamento avvenuto, mica hanno tolto il virus!
zavaton 04-11-13 19.43
Meriti sicuramente un thanks per la segnalazione emo

Per ora non mi agito più di tanto visto che per tutto quello che riguarda internet, posta, ecc... uso sistemi linux

Salomone 04-11-13 21.09
@ zavaton
Meriti sicuramente un thanks per la segnalazione emo

Per ora non mi agito più di tanto visto che per tutto quello che riguarda internet, posta, ecc... uso sistemi linux

jacus78 04-11-13 21.11
mi sembra troppo facile......
quartaumentata 04-11-13 23.07
Ho visto un po' di materiale divulgativo sul problema e sembra, come diceva mima in apertura, che il virus sia diffuso sotto forma di falso pdf. Arriva via mail o come download un file pdf, aprendo il quale... addio. Solo che un eseguibile NON può avere estensione "pdf", ma per l'appunto, una estensione da eseguibile.

Per cui:

1) il sistema non è impostato per visualizzare le estensioni (per cui ad es. documento.doc e foto.jpg appaiono come "documento" e " foto"). Quindi se spunta un "Tifacciotantobene.pdf", uno si dovrebbe insospettire: perché quell'estensione se di solito non se ne vedono mai?

2) il sistema è impostato per visualizzare le estensioni, ogni file ha la sua, per cui "Tifacciotantobene.pdf" apparirà come "Tifacciotantobene.pdf.EXE" e uno si dovrebbe guardare bene dal lanciare certi eseguibili, specie se così sospetti.

Poi certo backup e tutto il resto sono una buona regola, ma prima di tutto va evitata la sindrome del doppio click selvaggio.

Con questo non intendo dire che i creatori del simpatico eseguibile non si meritino di avere legata una bomba alla caviglia con lucchetto protetto da password: gli si dà una sega chirurgica e 30 min di tempo per scoprire la password. Al min 30 la bomba esplode: starà a loro scegliere di tentare di decrittare il lucchetto in meno di 30 min o segarsi un piede da soli in 12-15 min e salvarsi di certo. (Chi indovina la citazione cinematografica?)
Edited 4 Nov. 2013 22:07
mima85 04-11-13 23.30
jacus78 ha scritto:
mi sembra troppo facile......


Da rimuovere il trojan è facilissimo. Il problema è che una volta che questo è entrato in azione, i dati sono criptati, e se non paghi entro il tempo massimo in cui i creatori di 'sta immane bastardata ti concedono per riavere indietro la tua roba, è tutto perso irreversibilmente. A meno che tu non abbia un backup che il trojan non possa raggiungere in nessun modo, per esempio su un disco USB spento e staccato da qualsiasi macchina.

In sostanza il trojan non appena entra in azione innanzitutto richiede al server che questi criminali hanno messo in piedi di generare una chiave casuale di 2048 bit, ed una volta che l'ha ottenuta cripta tutto quello che trova sul computer, e lo va a fare anche sulle condivisioni di rete mappate come dischi sulla macchina infetta. Finita questa fase, che è silenziosa, invisibile ed in background, ecco che salta fuori il popup che chiede di pagare la somma richiesta per sbloccare i file. Se non paghi entro 4 giorni, la chiave viene cancellata dal server, ed i propri file personali diventeranno irrecuperabili senza speranza alcuna.

Il problema è che del trojan te ne accorgi quando ormai il danno è fatto, perché come detto sopra, la fase in cui questo crittografa i file è invisibile e silenziosa. L'utente non si accorge di nulla fino alla comparsa del popup, quando ormai è troppo tardi. Inutili sarebbero i tentativi di scoprire la chiave, dato che ci sono 2^2048 combinazioni possibili, per le quali a tentare una ricerca andando di brute-force anche il computer più potente su questa Terra ci impiegherebbe migliaia di anni di calcolo continuo.

Quindi il problema è proprio riavere indietro i dati una volta che il trojan li ha criptati, non il rimuovere l'infezione dalla macchina.
Edited 4 Nov. 2013 22:47
mima85 04-11-13 23.31
quartaumentata ha scritto:
(Chi indovina la citazione cinematografica?)


The Saw [un qualche numero] emo

C'è da dire che comunque chi ha creato questo trojan oltre ad essere un grandissimo figlio di puttana è anche un genio. Del male, ma è un genio. Peccato che menti geniali come queste si mettono a partorire 'ste boiate allucinanti invece che mettersi al servizio di cause ben più importanti e benefiche emo
Edited 4 Nov. 2013 22:33
anonimo 05-11-13 01.31
secondo me questi prima o poi si trovano qualcuno alla porta...
jacus78 05-11-13 03.02
passatemi il termine grezzo ma questi son proprio figli di puttana.
quartaumentata 05-11-13 08.38
superbaffone ha scritto:
secondo me questi prima o poi si trovano qualcuno alla porta...


Sì, ma variano le conseguenze.

1) beccati in giro per il mondo grazie ad opera congiunta di intelligence informatica di vari paesi: estradati negli Usa, si fanno almeno 15 anni dal primo all'ultimo giorno e poi sarebbero privati a vita dei proventi del loro lavoro per risarcire (in piccola parte) tutte le condanne ai danni.

2) beccati in Italia, sarebbero sottoposti a processo con tempi lunghissimi, alla fine ci sarebbe una condanna ad una pena ridicola, peraltro sospesa o indultata; nel frattempo diventerebbero personaggi pubblici con l'ammirazione di diversi soggetti che ne invidierebbero le capacità imprenditoriali (che siano illecite non importa anzi è maggiormente stimato), e ne apprezzerebbero l'innovativa inventiva; dopodiché comincerebbero ad aricchirsi con interviste e partecipazioni a reality televisivi.
Edited 5 Nov. 2013 7:38
mima85 05-11-13 10.28
jacus78 ha scritto:
passatemi il termine grezzo ma questi son proprio figli di puttana.


Passato ed approvato, tra l'altro l'ho usato pure io emo
mima85 05-11-13 10.28
quartaumentata ha scritto:
2) beccati in Italia, sarebbero sottoposti a processo con tempi lunghissimi, alla fine ci sarebbe una condanna ad una pena ridicola, peraltro sospesa o indultata; nel frattempo diventerebbero personaggi pubblici con l'ammirazione di diversi soggetti che ne invidierebbero le capacità imprenditoriali (che siano illecite non importa anzi è maggiormente stimato), e ne apprezzerebbero l'innovativa inventiva; dopodiché comincerebbero ad aricchirsi con interviste e partecipazioni a reality televisivi.


emo
anonimo 05-11-13 16.31
@ quartaumentata
superbaffone ha scritto:
secondo me questi prima o poi si trovano qualcuno alla porta...


Sì, ma variano le conseguenze.

1) beccati in giro per il mondo grazie ad opera congiunta di intelligence informatica di vari paesi: estradati negli Usa, si fanno almeno 15 anni dal primo all'ultimo giorno e poi sarebbero privati a vita dei proventi del loro lavoro per risarcire (in piccola parte) tutte le condanne ai danni.

2) beccati in Italia, sarebbero sottoposti a processo con tempi lunghissimi, alla fine ci sarebbe una condanna ad una pena ridicola, peraltro sospesa o indultata; nel frattempo diventerebbero personaggi pubblici con l'ammirazione di diversi soggetti che ne invidierebbero le capacità imprenditoriali (che siano illecite non importa anzi è maggiormente stimato), e ne apprezzerebbero l'innovativa inventiva; dopodiché comincerebbero ad aricchirsi con interviste e partecipazioni a reality televisivi.
Edited 5 Nov. 2013 7:38
già
zavaton 05-11-13 18.56
mima85 ha scritto:
il trojan non appena entra in azione innanzitutto richiede al server che questi criminali hanno messo in piedi di generare una chiave casuale di 2048 bit

Non sono di certo un laureato in informatica perciò perdonatemi la sparata emo però se è così qualcuno (non di certo il primo che passa) non potrebbe adibire un pc come esca e poi nel momento in cui il virus entra in azione intercettare l'indirizzo IP del server dei criminali?
mima85 05-11-13 20.46
zavaton ha scritto:
non potrebbe adibire un pc come esca e poi nel momento in cui il virus entra in azione intercettare l'indirizzo IP del server dei criminali?


Magari fosse così facile emo

La connessione del client (il virus in azione sui PC delle vittime) verso il server dei criminali avverrà sicuramente tramite una serie di proxy che fanno tutta una serie di rimandi, dietro ai quali si maschera la macchina, o magari le macchine dei criminali, forse pure sparse per il mondo. E probabilmente hanno pure in mano una botnet, estesa a livello internazionale, che spamma E-Mail in giro per il globo, in modo da propagare il più possibile l'infezione.

Sicuramente, dato che chi ha messo in piedi tutto questo sistema è tutt'altro che sprovveduto, ha trovato dei buoni metodi per nascondere i server. Figurati che ha progettato pure una sorta di "customer care" con tanto di pagina web, dove se perdi la chiave per decriptare i file, tramite il pagamento di una somma maggiorata di circa 10 volte, te la fornisce una seconda volta. E dietro c'è pure tutto un sistema di transazioni on-line e verifica dei pagamenti. Questo per dire quanto poco sia sprovveduta la mente dietro a tutto questo.

Per scovare le macchine che controllano tutto il sistema ci vuole un'operazione di informatica forense mica da poco, e magari una volta scovata la locazione dei server, vai a scoprire che sono dei computer abbandonati in un garage in culo al mondo, che nessuno sa di chi sia. E forse i garage sono pure in più parti del mondo. Da li poi devi partire con altre indagini per trovare a chi appartengono le macchine.

Non credo che dietro tutto questo ci sia una sola persona, anzi molto probabilmente, data la sofisticazione di tutto il sistema, c'è la mano di un gruppo appartenente a qualche organizzazione criminale. E queste persone sanno benissimo come muoversi.

E di solito, tanto per complicare le cose, attacchi del genere arrivano dalla Russia, dall'Asia o dal Medio Oriente, dove è notoriamente più difficile condurre delle indagini.
Edited 5 Nov. 2013 19:49
efis007 06-11-13 01.56
Brutta storia.

Domanda.
Mettiamo per assurdo che arrivi questo virus via mail e uno gli clicca sopra (ossia lo lancia, lo esegue a sua insaputa). L'antivirus riesce a bloccarlo?
jacus78 06-11-13 05.14
se è in formato pdf, gli antivirus non dovrebbero manco vederlo.....però almeno questo potrebbe essere evitato a priori almeno penso....ti arriva la mail, la apri, ci clikki....ma se non sei in contatto con emeriti sconosciuti, del loro pdf non te ne può fregar di meno no?
basta aprire la mail per dargli una lettura e non scaricare allegati giusto?emo
Edited 6 Nov. 2013 4:15
mima85 06-11-13 09.59
efis007 ha scritto:
Mettiamo per assurdo che arrivi questo virus via mail e uno gli clicca sopra (ossia lo lancia, lo esegue a sua insaputa). L'antivirus riesce a bloccarlo?


Ora gli antivirus dovrebbero riuscire a bloccarlo, ma leggevo su Internet di gente che, nonostante avesse l'antivirus aggiornato, questo avesse riconosciuto il tojan in ritardo, quando ormai aveva già iniziato la sua opera di crittografazione. C'è da dire che questi erano più che altro messaggi di settembre-ottobre, penso che nel frattempo le case produttrici di antivirus siano corse ai ripari.

Ad ogni modo meglio non fidarsi troppo nemmeno dell'antivirus ed in primis prendere noi le precauzioni necessarie per evitare questo tipo di disastro, ovvero effettuare backup regolari e prestare massima attenzione agli allegati che si aprono.

Tra l'altro a questo indirizzo è possibile scaricare un programmino di utilità che aggiunge delle policy a Windows per impedire l'esecuzione dei file eseguibili da directory temporanee e da percorsi quali c:\users (o documents and settings)\[utente]\appdata\ecc..., che è dove normalmente gli allegati aperti da E-Mail od i file scaricati da Internet vengono salvati per poi essere eseguiti. In questo modo, facendo doppio click su un allegato .EXE in Outlook/qualsiasi altro client di posta (o sull'EXE presente nel file ZIP allegato al messaggio, che nella fattispecie si tratta proprio del caso di questo trojan), ne viene impedita l'esecuzione, e per eseguirlo si è costretti a salvarlo sul desktop o in qualche altra directory ed eseguirlo da li. Insomma, dopo aver applicato questa misura di sicurezza, bisogna proprio andarsela a cercare con un faro da stadio l'infezione di questo malware.

Questo programma è linkato nella pagina che ho segnalato nel post di apertura, e tra l'altro sempre in quella pagina sono elencate le policy da aggiungere col policy editor di Windows, per chi volesse fare manualmente il lavoro che fa quel programma.
mima85 06-11-13 10.09
jacus78 ha scritto:
se è in formato pdf, gli antivirus non dovrebbero manco vederlo...


SEMBRA un PDF, in realtà è un .EXE. Ha l'icona di un PDF e sfrutta una funzionalità di Windows, che di solito è attivata di default, che nasconde le estensioni per i tipi di file riconosciuti dal sistema (come già detto da quartaumentata). In questo modo, l'utente invece di vedere "nomefile.pdf.EXE" vedrà solo "nomefile.PDF", e sarà indotto ad aprirlo.

jacus78 ha scritto:
ma se non sei in contatto con emeriti sconosciuti, del loro pdf non te ne può fregar di meno no?


Il problema è che ci sono altri trojan (e magari pure questo lo farà in futuro), che scandagliano la rubrica degli indirizzi E-Mail del programma di posta e si auto-inviano a tutti questi. Quindi a te arriva il messaggio da parte di una persona conosciuta, ti fidi e lo apri, ed ecco che se non sei protetto sei infetto pure te.

Inoltre, siccome questo trojan arriva in un messaggio mascherato da qualcosa di ufficiale proveniente da ditte come DHL, USPS, ecc..., uno può essere lo stesso indotto ad aprirlo, magari perché sta aspettando un pacco proprio da DHL e pensa che quel messaggio lo riguardi.

C'è da dire che in genere per noi italofoni può essere più facile distinguere questo tipo di messaggi, in quanto di solito arrivano in inglese, o se arrivano in italiano, il testo è molto sgrammaticato. Sono già rari i trojan che mandano in giro messaggi del genere in italiano corretto, quindi se la persona da cui questo arriva di solito ci scrive in italiano corrente, questo già può farci sospettare. Se invece è una persona straniera, li il sospetto può già diventare meno probabile e si casca nella trappola.

jacus78 ha scritto:
basta aprire la mail per dargli una lettura e non scaricare allegati giusto?emo


Si, un tempo si poteva imbrogliare Outlook (ma parlo di versioni vecchie) e fargli aprire automaticamente l'allegato all'apertura del messaggio, ma da quanto so oggi l'unico modo per aprire l'allegato è a mano. Qualsiasi altro tentativo automatizzato viene bloccato dal programma di posta.
Edited 6 Nov. 2013 9:14