Nuovo attacco del malware Ransomware.CryptoLocker

 Cos’è e come proteggersi

A seguito di numerose segnalazioni sembrerebbe che un attacco che utilizza il malware Ransomeware.CryptoLocker sia attualmente in corso.

L’attacco al momento è efficace solo su sistemi Windows e non coinvolge gli utenti di Mac OS X.

Qui di seguito troverete le informazioni su questo malware, come prevenirne un attacco e cosa fare in caso d’infezione.

DETTAGLI

Ransomware si riferisce ad una classe di malware che tiene in “ostaggio” un computer, se così possiamo dire, fino a quando l’utente paga un determinato importo in denaro così da ricevere istruzioni specifiche sullo sblocco.

Ransomware.CryptoLocker una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente dopo tutti i dati presenti sul disco rigido richiedendo poi un pagamento all’utente per ottenere una chiave di decripttazione. Molti consigliano di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Come si diffonde Ransomware.CryptoLocker?

Ransomware.CryptoLocker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di “social engineering” e che solitamente proviene da fonti legittime oppure tramite una botnet,  adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile .

Il file non è visibile come “<nomefile>.exe” ma in realtà come “<nomefile>.<pdf><docx><ecc.>.exe” perchè l’attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come “<nomefile>.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo.

Quando viene eseguito per la prima volta, il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico.

A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.

Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.

Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti.

Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Se Ransomware.CryptoLocker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l’unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware.

Il malware è conosciuto anche come:

  • Trojan:Win32/Crilock.A
  • Trojan-Ransom.Win32.Blocker.cgmz
  • TROJRANSOM
  • TROJCRILOCK
  • Cryptolocker
  • Trojan-Ransom.Win32.Foreign.acc
  • Trojan.Ransom.FH
  • Trojan:Win32/Ransom.GT

Azioni preventive e proattive

La protezione migliore è sempre la prevenzione. Alcuni malware si presentano come allegato e-mail di messaggi spam che come detto in precedenza utilizzano approcci di “social engineering” per indurre gli utenti ad eseguire il file, i più noti malware che utilizzano questa tecnica sono spesso identificabili in WORMBAGLE e TROJUPATRE. Quest’ultimo scarica ZBOT, che successivamente scarica Ransomware.CryptoLocker o FakeAV.

1.Si consiglia di utilizzare un buon antivirus sulla propria posta elettronica. Se utilizzi Google Apps for Work il nostro sistema offre un ottimo antivirus automatico su ogni messaggio in ingresso.

2.Installare un antivirus efficiente e tenerlo sempre aggiornato. Farnedi ICT consiglia F-Secure ed il servizio Full Managed che garantisce un controllo periodico da parte di un nostro tecnico dello stato di sicurezza del tuo PC.

3.Predisporre un buon sistema di backup, come ARCserve che permetta di recuperare i dati in caso di attacco. Anche in questo caso è sempre meglio prevedere un backup remoto che non possa essere attaccato  a sua volta e quindi reso inefficiente.

4.Predisporre un meccanismo di sicurezza perimetrale basato su firewall (Farnedi ICT propone Dell Sonicwall) e mantenere costantemente attivi i servizi di Deep Discovery.

Cosa si può fare in caso di infezione?

Anche se i prodotti di sicurezza sono progettati per trovare questa minaccia, può capitare che Ransomware.CryptoLocker non venga individuato, o magari venga individuato solo dopo che la cifratura è iniziata o addirittura è stata completata.

Se si sospetta un attacco o è ancora al primo stadio, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware prima del completamento della cifratura può almeno ridurre la perdita di dati ma ovviamente non risolve completamente il problema.

Quindi vanno assolutamente implementate politiche di sicurezza molto restrittive che impediscano che Ransomware.CryptoLocker venga eseguito usando al meglio i prodotti e laddove possibile, prevedere un adeguamento infrastrutturale che permetta l’implementazione di prodotti di scansione attiva del traffico come Deep Discovery Inspector.

Queste minacce devono essere considerate globalmente ed essere consapevoli che ogni bisognerà considerare ogni strato coinvolto nella consegna delle e-mail.

Come individuare se vi è un computer infettato

• Il PC dell’utente finale contiene file con estensione “.encrypted”

Come misura proattiva, isolare immediatamente il computer togliendolo dalla rete.

• Per individuare l’origine dell’infezione, se i file su server NAS/SAN sono infetti, controllare l’ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati.

Se l’audit NAS/SAN è abilitato, controllare i registri di log per sapere quale utente sta crittografando i file.

Isolare la sorgente che esegue la crittografia cercando poi quali utenti/aree aziendali hanno accesso alle condivisioni.

Ed ovviamente, contatta subito il nostro servizi di Helpdesk per ricevere supporto ed assistenza.