Cryptolocker e la decriptazione dei dati

CryptoLocker è un trojan comparso nel tardo 2013. Questo virus è una forma di Ransomware  ed infetta i sistemi Windows, consiste nel criptare i dati della vittima e richiedere un pagamento per la decriptazione. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l’attaccante ma di non aver visto i propri file decifrati.

Funzionamento

CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.

Al primo avvio, il software si installa nella cartella Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, rilocandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Conseguenze

Anche se CryptoLocker venisse rimosso subito, i file rimangono criptati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l’invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l’utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ai primi di novembre 2013 valgono circa 3500 USD)

Mitigazione del danno

Nonostante le suite di sicurezza siano progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus viene distribuita. Se un attacco è sospettato o è ai primi stadi, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware (un procedimento relativamente semplice) prima del completamento della cifratura può significativamente ridurre la perdita di dati. Gli esperti consigliano di prendere misure preventive come usare programmi o politiche di sicurezza che impediscano che CryptoLocker sia lanciato.

Recupero dei dati

Nonostante la chiave di sicurezza siano uno dei punti forti di questo virus, il sistema di criptazione non è perfetto. Ho scoperto che le immagini e video non vengono criptati sullo stesso file ma viene realizzata una copia criptata e poi eliminato definitivamente. Questo implica che il file criptato è inaccessibile ma il volume ha ancora la possibilità di accedere al dato originario.

Attualmente su tutti i computer entrati in laboratorio sono riuscito a recuperare immagini e video. L’unica eccezione è stato per un computer che la cliente ha continuato ad utilizzarlo per diversi mesi dopo aver preso l’infezione, di cui ho recuperato un 80% di immagini e nessun video.

Il software necessario è aquistabile qui:
Si consiglia di seguire queste procedure:

  1. Scollegare il disco fisso e collegarlo tramite USB ad un altro computer (o su un canale secondario)
  2. Eseguire una scansione approfondita del HDD infetto con software antivirus (Possibilmente Kaspersky, Avira o Avast)
  3. Installare su il computer il software EaseUS (la versione gratuita recupera 1 solo GB)
  4. Eseguire tramite EaseUS la scansione del disco
  5. A scansione terminata selezionate la cartella RAW Files che vi apparirà in lista
  6. Premi recupera e seleziona la posizione dove andranno salvati (ovviamente non sullo stesso disco)

Et Voilà!!!!

Il software è veramente intuitivo, quindi ve lo consiglio vivamente.

Se non vi sentite in grado o non volete acquistare il software potete contattarmi e lo farò io per voi. Alla modica cifra di 50 € + IVA (più spese di spedizione ed eventuale HDD)

 Aggiornamento

La procedura per il recupero è valida esclusivamente per le versioni V2 del Cryptolocker, le successive versioni hanno un differente metodo di criptaggio.

Commenti (0)
Aggiungi un commento