Cryptolocker


La polizia Postale continua a registrare ondate di attacchi attraverso invio di e-mail contenenti il gia noto virus cryptolocker, che è presente ormai dal 2013 su internet.

Ma cosa è un Cryptolocker?

Semplicemente  è un trojan che rientra della categoria dei Ramsonware spiegato nel nostro articolo precedentemente. In particolare questo trojan cripta un gran numero di file presenti sul computer della vittima rendendoli di fatto illeggibili per chiunque non possegga la giusta chiave per decriptare i suddetti file. Una volta fatto ciò, Cryptolocker segnala al proprietario del PC infettato che l’unico modo per ottenere la password di decifrazione dei suoi file per poterne cosi recuperare il contenuto è quello di pagare un riscatto, in genere tramite l’uso di BitCoin.

Come si acquista un Cryptolocker?

L’utente riceve sulla propria casella di posta un messaggio di istituti di credito e multinazionali le quali forniscono indicazioni ingannevoli su presunte spedizioni a suo favore , tali messaggi recano al loro interno un link o un allegato (zip o pdf), cliccando sul link  , il virus viene iniettato nel pc che immediatamente cripta il contenuto delle memoria del pc (questa virus può criptare anche i pc collegati in rete). Al termine della criptazione si realizza il riscatto dei criminali informatici che richiedono alle vittime il pagamento di una somma di alcune centinaia di euro in bitcoin per rientrare in possesso dei loro dati.

 

NOTA:

  • E’ importante non credere al riscatto, anche perché non è certo che dopo il pagamento vengano restituiti i file criptati.
  •  (Il Bitcoin è una moneta virtuale, esprimibile con un numero a 8 cifre decimali. Non esiste un’autorità centrale che la distribuisce e che ne traccia le transazioni in quanto le operazioni sono gestite collettivamente dal network attraverso dei siti c.d. exchanger che rilasciano monete virtuali incamerando moneta proveniente da carte di credito o altri strumenti elettronici di pagamento, ossia codici che a loro volta possono essere convertiti in denaro contante). Il valore di un BTC è stabilito dal mercato, come per ogni altro bene (attualmente 1 BTC corrisponde a circa 962 euro, ma tale valore è destinato ad aumentare, considerando che il numero massimo di BTC producibili attraverso il cd. processo di “mining” cui possono partecipare tutti i nodi della rete, è fissato a 21 milioni).

Come proteggersi?

Tenere sempre aggiornato il software del proprio computer
Munirsi di un buon Antivirus (Premium)
Effettuare sempre il BackUp dei propri dati
Fare attenzione alle e-mail in entrata

Per aver maggiori informazioni e un contatto diretto con l’utente si può far riferimento anche al commissariato di P.S. on line, caratterizzato da innovativi sistemi di interattività.

L’evoluzione di un cryptolocker:

Ora che sappiamo cos’è Cryptolocker e come si diffonde vediamo quello che succede una volta che il file eseguibile di Cryptolocker viene eseguito. Per prima cosa, il virus va ad installarsi in una cartella di Windows (solitamente “Document and Settings” o “Users”) usando un nome casuale e successivamente va a modificare le chiavi di registro di sistema in modo tale da impostarsi come applicazione attiva tramite avvio automatico.

Una volta fatto ciò, sfruttando la connessione internet del PC appena infettato, esso tenta di collegarsi ad un server remoto di proprietà dei creatori del virus, da cui va a prelevare una chiave RSA a 2048 bit. Una volta prelevata la chiave, Cryptolocker inizia a criptare la maggior parte dei file presenti nel disco fisso del PC ed in tutte le risorse di rete accessibili in lettura e scrittura usando la chiave prelevata

 

File che di solito vengono criptati:

Una volta fatto, Cryptolocker avvisa l’utente che l’unico modo per decifrare i file è quello di ottenere la chiave di cifratura, dietro il pagamento di un riscatto.

Il trojan dopo essere stato eseguito per la prima volta deve accedere ad internet per recuperare la chiave di cifratura. Per questo è per lui necessario che il PC dell’utente  sia collegato ad internet oppure, in alcune versioni più avanzate, che sia collegato in LAN con altri PC a loro volta collegati ad internet i quali Cryptolocker tenterà via via di infettare.

Poiché Cryptolocker ha fatto danni enormi , diverse aziende di sicurezza si sono alleate per fare fronte comune.
L’operazione, lanciata su scala internazionale, di cui fa parte anche l’FBI, si chiama Tovar.
Le società FireEye e Fox-IT hanno avuto accesso ai server dell’FBI, quindi a moltissime chiavi RSA usate per cifrare milioni di file con Cryptolocker. Da qui l’idea di mettere in piedi un sito per decriptare gratuitamente i file cifrati da Cryptolocker.

Ecco come funziona il servizio per chi desidera recuperare i propri file senza pagare il riscatto

  1. Collegarsi al sito www.decryptcryptolocker.com;
  2. inserire un indirizzo email valido e caricare un file cifrato da Cryptolocker;
  3. il servizio restituisce una email che contiene: una chiave di decodificaun link per scaricare il programma decryptolocker.exe.
  4. Una volta scaricato il programma, occorre digitare sul prompt dei comandi:
Decryptolocker.exe – key “< key >” < nome_file_cifrato >
  La chiave è unica (e diversa) per ogni sistema, quindi se si ha più di un sistema cifrato con Cryptolocker occorre ripetere l’operazione per ogni sistema.
Inoltre il virus ha avuto molte varianti, per cui non c’è garanzia al 100% di poter recuperai i file, in caso di attacco di una particolare variante di Cryptolocker. In ogni caso Provar non Nuoce!!! e Buona Fortuna!!!

 

 


Previous E-mail Fake da Servizi di Spedizione
Next Vietati TABLET e LAPTOP negli aerei- Spiegazioni

No Comment

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

quattro × tre =