COME TI RAPISCO L’HARD DISK : I RANSOMWARE

Nuova e-mail in arrivo : “Ah la fattura dell’Enel (Enel? ma io ho Blue Energy, Boh apriamo…)”

Un doppio clic, tanto basta a scatenare una delle infezioni più pericolose e diffuse del momento. Tecnicamente la famiglia dell’infezione si chiama “ransomware” nello specifico parliamo del Cryptolocker.

Cos’è?

Il Cryptolocker, per l’appunto, appartiene alla famiglia dei ransomware ovvero quei malware che si insidiano nel vostro Pc e dopo un determinato lasso di tempo iniziano a cifrare tutto il contenuto indistintamente, File di Excel, Foto, Musica, Pdf.. tutto prende una estensione aggiuntiva ( es. Documento.pdf.xzyfw ) e diviene illeggibile perché criptato con una chiave esadecimale praticamente impossibile da decifrare.  Quando ci si accorge dell’infezione è già troppo tardi in quanto, (è testato da me personalmente) , un Cryptolocker riesce a cifrare oltre 10 mila file ogni 30″ e attivandosi a sorpresa l’utente non ha praticamente mai tempo di accorgersene.

Ma come si prende un crypto?

Beh, nel modo più semplice possibile, via mail.

I Cryptolocker sono dei file “mutanti” ossia dei file che hanno la capacità di modificare i propri metadati e modificarsi passando in pochi centesimi di secondo da Doc a BAT  o da PDF a EXE, senza bisogno di intervento di terzi e soprattutto senza dar segnali.

Fondamentalmente questi appaiono sotto forma di allegati mail, spesso come Ricevute di Pagamento, Fatture Invoice, Moduli di iscrizione  o link di Unsubscribe a delle Newsletter. Quando l’utente clicca sul file o sul link solitamente non succede nulla o, nelle versioni più curate, si viene indirizzati a delle ‘fake pages’ (finte pagine) di siti che non danno sospetto all’ignaro lettore.

Questi file vanno a salvarsi dapprima in cache poi mutano e si vanno ad annidare in una directory amministrativa (Solitamente C:Temp , in quanto poco trafficata), girando molto spesso con privilegi amministrativi locali il virus non ha difficoltà a insediarsi, e data la sua conformazione mutevole è in grado di bypassare eventuali sandbox di utenti avanzati. Gli antivirus spesso effettuano solo controllo di estensione o metadati, e quindi sono molto facilmente imbrogliabili.

Una volta annidati al sicuro per qualche giorno non danno nessun segnale salvo poi scatenarsi, e crittografare a raffica tutto il contenuto della macchina.

Quando il virus finisce il suo danno (per timer o perché non trova più nulla da crittografare) si autodistrugge senza lasciare nessuna traccia di sé ( se non lo strascico di file inutilizzabili) . La violenza dell’infezione è tale da propagarsi anche in eventuali share di rete (dove riesce coi privilegi con cui gira) o periferiche scrivibili collegate (HD Esterni, Chiavette USB).

Il gioco però è appena cominciato, infatti una volta completata l’opera ci sono 2 scenari :

1 – In ogni cartella oltre a criptare i file, il virus lascia anche un TXT o HTML  con delle istruzioni ;

2- Il virus agisce sulla home page del Browser settando una specifica pagina con delle istruzioni ; ma cosa viene scritto in queste istruzioni?

Beh viene riportata la procedura per il “riscatto” dei dati, ossia ,sulla carta, gli attaccanti notificano all’utente che se vuole recuperare i dati perduti deve necessariamente effettuare un pagamento in Bitcoin su un determinato conto virtuale. A seguito di ciò, verrà rilasciata la chiave con la quale decifrare tutti i file. Sempre sulla carta. A differenza della maggior parte delle valute tradizionali, Bitcoin non fa uso di un ente centrale: esso utilizza un database distribuito tra i nodi della rete che tengono traccia delle transazioni, e sfrutta la crittografia per gestire gli aspetti funzionali come la generazione di nuova moneta e l’attribuzione di proprietà dei bitcoin.

La rete Bitcoin consente il possesso e il trasferimento anonimo delle monete; i dati necessari a utilizzare i propri bitcoin possono essere salvati su uno o più personal computer sotto forma di “portafoglio” digitale, o mantenuti presso terze parti che svolgono funzioni simili a una banca. In ogni caso, i bitcoin possono essere trasferiti attraverso Internet verso chiunque disponga di un “indirizzo bitcoin”. La struttura peer-to-peer della rete Bitcoin e la mancanza di un ente centrale rende impossibile a qualunque autorità, governativa o meno, il blocco dei trasferimenti, il sequestro di bitcoin senza il possesso delle relative chiavi o la svalutazione dovuta all’immissione di nuova moneta.

In sostanza, i bitcoin girano senza controllo e una volta incassati vengono subito trasformati in valuta e quindi perdono definitivamente tracciabilità.

Una truffa congegnata nel migliore dei modi che purtroppo muove un giro illecito di affari davvero notevole.

Ma come possiamo difenderci?

La miglior difesa, come dico sempre, è sempre la conoscenza, anche una attività routinaria come quella della navigazione online richiede una debita formazione, se non altro sulle possibili conseguenze dei comportamenti meno “felici”, quindi è utile informarsi, possibilmente non su internet.

  1. E’ consigliabile sempre utilizzare un indirizzo mail “pulito”, che sia (passatemi il termine) Istituzionale e non coinvolto anche in ulteriori iscrizioni a siti, newsletter, spamlist ecc.
  2. Avere la certezza delle comunicazioni che si ricevono è fondamentale per poter serenamente gestire la propria posta elettronica, è molto utile anche avere una giusta inquadratura su come riconoscere comportamenti anomali rinvenibili in rete soprattutto con la mailbox.
  3. Il salvataggio di backup è sempre una buona norma, aiuta quantomeno a “curare” eventuali infezioni, dando la possibilità di recuperare senza pagare le info cifrate, oggi anche il cloud è una soluzione valida. Molte sono le possibilità per mettersi al sicuro.

A breve è mia intenzione attivare dei seminari gratuiti si sensibilizzazione verso il problema, con questo e molti altri argomenti delicati. Ciao e a presto.

 

Un pensiero su “COME TI RAPISCO L’HARD DISK : I RANSOMWARE

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *