Ransomware: informazioni utili

Questo articolo è la parte 3 di 5 nella serie HELP CRYPTOLOCKER
Tempo di lettura:3 minuti
[ratings]

Bitcon è un ottimo e perfetto sistema di pagamento senza l’utilizzo di banche o intermediari e le sue caratteristiche d’anonimato hanno fatto ingolosire cyber criminali che con la diffusione di virus evoluti, di fatto trattengono dati non loro chiedendo un riscatto per riaverli.

Di cosa parliamo? Parliamo di BitCryptor, CoinVault, CryptoDefense, Cryptorbit, Cryptowall, CryptoLocker e l’ultimo derivato chiamato Teslacrypt. Tutti questi, e quelli che in futuro faranno la comparsa in rete, fanno parte della categoria dei ransomware. Un ransomware è un tipo di malware che, dopo aver criptato i file del proprio computer, chiede un riscatto in bitcoin per rimuovere la limitazione. Secondo le stime di Trendmicro l’Italia è la nazione europea più infetta in assoluto dai ransomware Cryptolocker e CrytpoWall. Insomma siamo bersaglio di pirati informatici? Direi di no. Piuttosto siamo un paese con un livello di conoscenza informatica sotto la media. Nulla di sconvolgente ma, prima di finire nelle mani di questi delinquenti è meglio tutelare i propri dati con dei sani backup scollegati dalla rete. Ovviamente un buon antivirus è d’obbligo ma il fattore umano è parte essenziale: ALLEGATI di E-MAIL sospette non vanno aperti. Dobbiamo evidenziare che l’infezione viene propagata per lo più utilizzando la posta elettronica. Per dovere di cronaca ricordiamo che i ransomware non sono un fenomeno attuale. Essi esistono fin dal lontano 1989 ma solamente oggi hanno trovato terreno fertile sfruttando le caratteristiche di bitcoin. Negli anni ’90 il pagamento di un ricatto portava i criminali ad esporsi troppo(non esistevano le criptovalute) e, quindi, diventava tutto più complesso e difficoltoso.

Come funziona un Ransomware?

Un ransomware si diffonde come un normale virus informatico o trojan e cioè ottenendo i privilegi, principalmente di Windows, sfruttando vulnerabilità dei programmi utilizzati o del sistema operativo stesso. Più comunemente però l’infezione arriva per leggerezze dell’utilizzatore che apre file infetti arrivati tramite email o scaricati da internet o tramite dispositivi esterni(chiavette usb e dischi fissi esterni) già infetti. Una volta che il computer è infetto il ransonware rimane in uno stato di veglia fino a un tempo prestabilito(con possibilità d’essere avviato da remoto) o al raggiungimento di un evento. Durante questo periodo cercherà di infettare più dati possibile anche sfruttando la rete locale o eventuali dispositivi di massa collegati. Terminato questo periodo i dati verranno criptati utilizzando una chiave privata e una pubblica create al momento. Alcuni dati essenziali per gestire questo ricatto verranno inviati allo sviluppatore(solitamente in un database remoto); esso è l’unico che è in possesso della chiave di decrittazione. Questa chiave verrà consegnata automaticamente al ransonware al raggiungimento dell’obiettivo(pagamento del riscatto) il quale di occuperà di decriptare i dati precedentemente resi inservibili e rendere nuovamente operativo il computer. Se il pagamento non avverrà dopo un determinato periodo di tempo(il tempo offerto dai delinquenti per effettuare le operazioni atte al pagamento del riscatto) la chiave di decrittazione verrà cancellata e i dati resteranno criptati per sempre.

Teslacrypt 3.0 L’ultimo arrivato

Il 30 gennaio 2016 è una data da ricordare. Infatti qualche giorno fa ha fatto la comparsa Telsacrypt 3.0. Le sue modalità d’infezione sono le classiche e citate nel paragrafo soprastante. L’infezione tramite mail è spesso riconoscibile da un file ZIP con al suo interno un file con l’estensione JS. L’estensione JS è un’estensione del linguaggio di programmazione Javascript e, se avviato, verrà permesso il download di Teslacrypt 3.0 L’infezione andrà a criptare i dati importanti rinominando tali dati con estensioni .MICRO .XXX e .TTT e andrà ad inserire su ogni cartella dove ci sono i file criptati due file chiamati “help_recover_instructions.txt” “help_recover_instructions.BMP”. E’ possibile aprire entrambi i file, visto che i file bmp sono immagini e i txt file di testo, e al loro interno ci saranno le istruzioni per ottenere il decrypt che saranno visibili tramite un url visibile tramite la rete tor

Ok, va bene. Sono già infetto che faccio?

Il pagamento del riscatto è assolutamente da evitare. Si, risolverete il problema ma aumenterebbe questo business criminale che arreca un danno d’immagine alla più famosa moneta elettronica p2p.

  1. La prima cosa da fare è indubbiamente recarsi dalle forze dell’ordine e fare denuncia contro ignoti.
  2. Provare a recuperare delle copie dei file criptati sfruttando le shadow copy che non è altro che una copia automatica che Windows esegue in autonomia. Purtroppo alcuni ransonware disabilitano tale funzione. Potete scaricare l’utility Shadow Copy Viewer che vi semplificherà il lavoro: http://netdom.net/Products/Shadow-Copy-Viewer
  3. Alcuni ransomware hanno, a loro volta, una vulnerabilità scoperta da Fabian Wosar che ha creato un tool chiamato DecriptInfinite. Potete cercare di decriptare i file utilizzando tale tool scaricabile a questo link: http://emsi.at/DecryptCryptInfinite
  4. Provare ad utilizzare il tool creato dalla nota casa produttrice di antivirus Kaspersky scaricabile gratuitamente da questo link:  http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.exe
  5. Una possibilità sarebbe anche di creare una finta transazione con doppia spesa(Double Spending) ma qui, oltre a non essere alla portata di tutti, potrebbe far torcere il naso al ransomware che, magari, vi blocca definitivamente i vostri file. (magari potrebbe essere spunto per un ulteriore articolo)
Scan to Donate Bitcoin to Mirko Feriotti aka Ziomik
Did you like this?
Tip Mirko Feriotti aka Ziomik with Bitcoin
Navigazione multiarticolo<< Cryptolocker cosa è e come evitarloRansomware Petya sconfitto! >>
Avatar

Mirko Feriotti aka Ziomik

Profeta del Bitcoin sin dagli esordi e fermamente convinto sulle potenzialità della moneta decentralizzata.

Un pensiero riguardo “Ransomware: informazioni utili

Lascia un commento

Non perdere i nuovi articoli e le opportunità sulle criptovalute. Iscriviti alla newsletter!
Iscrizione