CRYPTOVIRUS, CRYPTOLOCKER E I RAMSOMWARE CHE CRIPTANO I DATI

Riportiamo di seguito l'ottimo, esaustivo e molto ben scritto articolo del Dott. Antonio Parisi Consulente informatico:



CryptoVirus: l'attacco al computer che prende in ostaggio i nostri dati
Introduzione
Sono i virus di nuova generazione. Evoluti e sofisticati. Codici che attivandosi sul nostro computer cifrano i file e li rendono inaccessibili. Per la restituzione è necessario pagare un “riscatto” attraverso un pagamento in BitCoin, la moneta elettronica non tracciabile e difficile da munirsene in tempi rapidi, e più si tarda a pagare il riscatto e più aumenta la richiesta di denaro fino a pagare migliaia di euro. Non ci sono, al momento, soluzioni certe per recuperare le proprie informazioni colpite se non dietro un pagamento.
Seriamente preoccupante e decisamente da non sottovalutare. Ma procediamo con ordine.
Fino a qualche anno fà circolava, un Malware (attacco da software) che, attraverso una schermata, con tanto di logo della Polizia Postale o Guardia di Finanza, bloccava le funzionalità del PC e chiedeva un pagamento di un centinaio di euro, attraverso carta di credito, per sbloccare il computer. Infine, per intimorire l'utente, si asseriva falsamente che il pc conteneva materiale pedopornografico e se non avveniva il pagamento si procedeva con le indagini. Ovviamente non funziona cosi con le forze dell'ordine.
Quel tipo di attacco , o frode che dir si voglia, era un attacco di tipo Ransomware ovvero un tipo di attacco che blocca qualcosa e chiede un riscatto. Ma quello appena descritto non era grave e non aveva conseguenze significative. Era semplice da eliminare, in quanto composto da una immagine che appariva per la richiesta del riscatto e la disabilitazione di gran parte delle funzionalità di windows (per i più tecnici GPO Group Policy Object e chiavi di registro di sistema). Insomma di facile soluzione e permettava di sbloccare il pc in qualche minuto. E fin qui ci andava bene.
La nuova generazione di attacchi Ransomware ovvero di tipo CryptoVirus fa davvero paura! Si ripropongono aggressivi ed evoluti più che mai. Attaccano il pc utilizzando tecniche di crittografia con chiave pubblica e privata RSA a 2048 bit. In poche parole se non si possiede la chiave di decrittografia èimpossibile aprire i file. E che non si pensi che nostro cugino o un nostro amico ,bravissimo al computer, possa riuscirci. Questa è roba seria e non si scherza.
Il primo attacco significativo di tipo CryptoVirus ( in realtà non è virus ma un Trojan ) appare alla fine del 2013 , sebbene già a giugno 2013 la McAfee avesse dichiarato di aver raccolto 250.000 campionature di Ransomware, e prende il nome di CryptoLocker , il quale riuscì ad estorcere qualche milione di dollari prima che si procedesse ad arrestare l'autore.
Sulla scia di CryptoLocker, da allora, fanno la loro apparizione dozzine e dozzine di inefficaci emulazioni, ma programmare un attacco raffinato del genere ci vogliono menti geniali , come l'ultimo attacco da pochi mesi in circolazione e che prende il nome di CryptoWall. Ancora più aggressivo di Cryptolocker . Oltre a sequestrare i dati chiede il pagamento in BitCoin la moneta elettronica che , oltre a non poter essere tracciabile fino in fondo, non è affatto facile reperire in breve tempo. E il tempo gioca brutti scherzi agli sfortunati utenti. Infatti per poter avere la chiave per decifrare i dati bisogna pagare dai 400 ai 700 Euro entro 3-5 giorni altrimenti la cifra aumenta giorno dopo giorno e considerando che per ottenere dei bitcoin, per chi ci riesce, possono volerci anche settimane.Bella storia no? Ma il pericolo è reale e per trovare soluzioni concrete ed efficaci sono attualmente coinvolte istituzioni internazionali e ricercatori di tutto il mondo.
Come avviene l'attacco
Come per tutte le minacce alla sicurezza informatica i cryptovirus attaccano attraverso i più comuni metodi. Ovvero con l'apertura di un file allegato ad una mail di dubbia provenienza, navigando in rete, utilizzando chiavette usb e tantissime altre modalità. Tecnicamente avviene attraverso un (Trojan) software nascosto da qualche parte e posizionato nel nostro pc magari attraverso un download di un brano mp3, video, pdf,zip e cosi via.L'attacco può avvenire, inconsapevolmente, anche attraverso una mail ricevuta da una persona o una azienda conosciuta, a loro volta vittime di attacchi idonei ad impossessarsi della loro identità e propagare l'infezione.
Come funziona un Cryptovirus
Appena si attiva, il cryptovirus, per prima cosa installa un certificato di crittografia e comincia a cifrare tutti i file contenuti nell'hard disk, nelle unità di rete collegate e in tutte le periferiche di memorizzazione che sono collegate al computer. I primi file ad essere attaccati sono i punti di ripristino presenti nel pc e le chiavi di registro del sistema e successivamente tutti i file di produttività compreso i documenti di Office, pdf, foto, musica e video. L'operazione comunque non avviene in pochi istanti ma in modo graduale per via del processo di cifratura che richiede qualche ora. Via via che i file e le cartelle vengono cifrate e rese illeggibili vengono creati, all'interno delle cartelle cifrate e nella root dell'unità, alcuni file di controllo del virus. Questi file ( 3 file nascosti) di cui uno di tipo html, permettono al pc di collegarsi e comunicare con dei server sulla rete internet per fare da tramite per le operazioni di richiesta riscatto ed eventuale rilascio della chiave di decifratura che , da testimonianze di chi ha pagato, non sempre pare funzioni.
Come si elimina
Il problema, in questo caso, non è eliminarlo. Il problema è quali e quanti danni ha procurato. Se si dovesse allagare casa nostra il problema non è risolto chiudendo semplicemente il rubinetto, ma i danni che ha procurato l'allagamento. Per eliminarlo potrebbe bastare un buon Antivirus aggiornato o un malware scanner ma non è sufficiente a mitigare i danni. I file rimangono cifrati e non si possono aprire in nessun modo. E, credetemi, per il tipo di tecnologia utilizzata è cosi. E se qualcuno è riuscito a recuperare i dati è solo perchè ancora, necessitando di tempo la cifratura , questi file non erano stati processati dall'attacco.
Come ci si difende
Per difendersi è necessario distinguere l'attacco in due fasi:
Prima dell'attacco
Per evitare l'attacco è fondamentale attivare tutte le protezioni che abbiamo a disposizione più il buon senso nelle nostre azioni.
1) Effettuare periodicamente un backup (salvataggio) di tutti i vostri file su un CD, DVD, Hard Disk esterni, Memorie e cosi via e custodirli con cura i un luogo sicuro.
2) Tenere aggiornato il sistema operativo ( Windows Update).
3) Tenere attivato il Firewall di Windows e del Router se connessi alla rete.
4) Tenere attivato Windows Defender.
5) Installare ed aggiornare periodicamente un buon Antivirus.
6) Evitare di aprire gli allegati della posta elettronica se non conoscete il mittente.
7) Tenere attivato il Windows Controllo Utente.
8) Evitare di effettuare download di foto, video, musica da siti sconosciuti soprattutto se Gratis.
9) Fare in modo che tutte le chiavette usb, le memorie e i dischi esterni vengano controllati dall'antivirusappena collegati.
10) Evitare di collegare alla rete pc, tablet, smartphone e altro che non siano provvisti di sistemi Antivirus o sicurezza idonea.

Dopo l'attacco
1) Purtroppo a causa dell'evoluta e complessa architettura, nonchè allo scopo dell'attacco, esso agisce in sordina e non è facile accorgersi immediatamente. Tuttavia all'apertura di un file già cifrato apparirà una finestra che comunica che il file non si può aprire se non dietro il pagamento della congrua somma di denaro con le indicazioni di pagamento.
2) Appena certi dell'infezione è necessario spegnere immediatamente il pc.
3) NON collegare chiavette usb, memorie o dischi esterni contenenti tool per la rimozione in quanto ne verrebbe anche cifrato il contenuto.
4) Estrarre fisicamente dal PC infetto le unità disco e successivamente estrapolare dall'esterno i file ancora integri.
5) NON cercare di forzare l'apertura dei file. Si peggiorerebbero le cose e si perderebbe solo tempo.
6) Nel caso, saggiamente, vi troviate una copia di backup dei vostri dati sarà sufficiente formattare il pc infetto e reinstallare il sistema operativo su nuova partizione.
7) Chiedete consiglio e affidatevi a tecnici esperti e preparati in sicurezza informatica.
8) Se l'attacco non ha procurato seri danni tirate un sospiro di sollievo e adottate le misure di cui sopra.
9) Se l'attacco ha procurato forti e gravi danni presentare esposto denuncia agli uffici di Polizia Postale o Carabinieri
10) Pagare il riscatto
Qualche tentativo per recuperare i file crittografati:
Molti siti pubblicizzano utility e software in grado di decifrare e recuperare i dati ma nella gran parte dei casi
hanno solo lo scopo di vendere tali programmi e in alcuni casi effettivamente sono in grado di recuperare i file ma solo ed esclusivamente quelli cancellati o danneggiati per altri motivi e NON per la crittografia.
Probabilmente usciranno sul mercato delle utility che saranno in grado di recuperare i file crittografati ma ci vorrà tempo. Come per i software antivirus molte aziende saranno in grado di realizzare utility efficaci sulla base di studi approfonditi sulle chiavi di crittografia utilizzate per effettuare gli attacchi, tuttavia tali attacchi si manifestano con nuove varianti e per tale motivo ci vorrà molto tempo per decifrare ogni singola chiave di cifratura.
Un ulteriore tentativo per recuperare i file può essere fatto attraverso la procedura delle Copie Shadow di Windows in cui parlo ampiamente in questo articolo.
Voglio precisare che i suggerimenti elencati in questo tutorial, prima e dopo le fasi dell'attacco sono indicati per una postazione stand alone o di rete di tipo Workgroup. Per le infrastrutture di rete Server-Client con domini Active Directory sono necessarie ulteriori modalità e procedure avanzate, oltre ad apparati hardware, per garantirne la sicurezza.
No abbassare mai la guardia!
Antonio Parisi