I ransomware non sono necessariamente tra i malware più pericolosi. Tuttavia, una nuova variante di CryptoLocker, un ransomware particolarmente pericoloso, ci interessa da vicino perché realizza le azioni che praticamente qualsiasi ransomware afferma di eseguire: cripta i contenuti del computer delle sue vittima usando una crittografia forte.
Per i meno esperti, un ransomware è un tipo di malware che, dopo aver infettato un computer, si propone di criptare i dati o di bloccare il computer della vittima. Il malware poi informa la vittima che lui o lei deve pagare un riscatto (in inglese ransom, da qui il nome del malware) per riavere indietro i propri file. Naturalmente, non c’è nulla che garantisca all’utente che pagando il riscatto, il computer o i dati vengano “sbloccati”. Al contrario, molto spesso avviene l’opposto: dopo aver pagato il riscatto non avviene nulla. L’unico effetto che si produce è quello di “rimpinzare” per bene le tasche degli sviluppatori del malware.
Su questo blog abbiamo trattato un notevole numero di programmi pericolosi. A noi piace spiegare come funziona la minaccia, offrire una descrizione del malware, dare suggerimenti e avvertire quando non è necessario preoccuparsi troppo. Tuttavia, a nostro malgrado, questo non è uno di quei casi. CryptoLocker è senza dubbio quel genere di minaccia che può seriamente rovinarvi la giornata, la settimana o il mese, in base all’importanza dei dati contenuti sul vostro computer. Perciò, in questo caso, ci dispiace dirvi che è bene preoccuparsene almeno un po’.
Non ci sorprende che solo pochi utenti che hanno pagato il riscatto abbiano ricevuto a cambio la chiave di decifrazione, sebbene alcuni report indichino che il gruppo criminale responsabile dell’attacco abbia iniziato a distribuire le chiavi per decriptare i file la scorsa settimana.
Ad ogni modo, sembra che le entità criminali che utilizzino CrypoLocker, al momento, siano più di una (abbiamo parlato di un’implementazione di questo virus lo scorso mese su Threatpost.com). Il malware in questione cripta foto, video, documenti e molto altro e può persino fornire alle sue vittime un link con la lista completa dei file criptati; usa una crittografia RSA-2048 protetta con chiave privata. L’interfaccia del ransomware fa apparire un orologio con un conto alla rovescia di tre giorni che avvisa gli utenti del tempo a loro disposizione. Allo scadere del tempo, la chiave privata di decifrazione verrà eliminata per sempre e non sarà più possibile recuperare i file crittografati.
Gli hacker hanno richiesto come riscatto il pagamento di una somma di denaro parti a 300 $. Si poteva realizzare il pagamento in diversi modi, incluso Bitcoin.
Questa minaccia è così potente che persino il US-CERT (United States Computer Emergency Readiness Team) ha dato l’allarme. Questa unità è una sezione del Department of Homeland Security, il cui compito è analizzare e ridurre i rischi rappresentati dalle minacce online. Il comunicato avvertiva che le infezioni CryptoLocker erano in aumento, ma invitava soprattutto gli utenti a non pagare il riscatto associato al malware.
CryptoLocker si diffonde principalmente attraverso campagne di phishing o notifiche di tracking pervenute da falsi servizi UPS o FedEX. Alcune vittime affermano che CryptoLocker è apparso dopo un’infezione botnet separata. Secondo Costin Raiu di Kaspersky Lab, questo malware colpisce principalmente gli utenti residenti negli USA e in Gran Bretagna; al secondo posto si trovano India, Canada, Australia e Francia.
Pare che alcune versioni di CryptoLocker siano in grado di causare danni non solo ai file locali, ma anche ai file immagazzinati nei driver rimovibili come chiavette USB, hard disk esterni, network per la condivisione di file e alcuni servizi di cloud storage in grado di sincronizzare le cartelle locali con il servizio su cloud. Inoltre, le notifiche di US-CERT avvertono l’utenza che il malware è capace di saltare da un computer all’altro all’interno di una stessa network e consigliano di rimuovere immediatamente i computer infetti dalla network.
Brian Krebs, noto giornalista esperto di sicurezza informatica, ha riferito all’inizio della settimana che la gang che si nasconde dietro CryptoLocker si è “ammorbidita” rispetto alla deadline di 72 ore che dava alle sue vittime. Ciò è dovuto probabilmente perché stava perdendo molti soldi da quegli utenti che volevano pagare, ma che non erano riusciti a farlo nei termini imposti perché non capivano come pagare con Bitcoin o MoneyPak. Il conto alla rovescia rimane invariato, ma le chiavi di decifrazione non vengono cancellate allo scadere del tempo. Tuttavia, gli hacker hanno aumentato il prezzo del riscatto che può arrivare a essere 10 volte superiore al prezzo iniziale.
Lawrence Abrams, malware expert di BleepingComputer.com, citato nell’articolo di Kreb, afferma che molte aziende e singoli utenti non avevano altra scelta se non quella di pagare. Io non sono d’accordo, soprattutto per una questione di principio: se accettate di pagare, non farete altro che incoraggiare i cybercriminali. Fate un backup dei dati (e ricordatevi di farlo con regolarità) e non lasciate i driver esterni con la copia di backup collegati al computer. Se venite colpiti dal virus, restaurate il computer con i dati dell’ultimo backup.
Alcune funzionalità incluse negli antivirus di ultima generazione vi potrebbero aiutare, ma secondo il report di Kreb, alcuni software rimuovono l’infezione dopo che i file sono stati criptati, il che significa che sarebbe impossibile recuperare i dati anche una volta pagato il riscatto. Gli autori di CryptoLocker utilizzano gli sfondi per il desktop per inscenare il conto alla rovescia e il messaggio di ricatto. Se la vittima è disposta a pagare, ma l’antivirus ha rimosso l’infezione (questo non significa che vengano sbloccati i file), è possibile scaricare volontariamente un eseguibile cliccando sul link visibile sul desktop.
Gli utenti di Kaspersky Internet Security sono protetti contro tutte le attuali varianti di CryptoLocker e hanno a disposizione la migliore tecnologia per impedire l’esecuzione di tali malware sul sistema.