CryptoLocker sequestra i file con la crittografia remota

19 Ottobre 2013 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebUn nuovo ransomware per PC Windows si aggira per la Rete, si chiama CryptoLocker ed è dotato di un potenziale distruttivo molto pericoloso. La security enterprise Sophos mette in guarda - tramite Naked Security - utenti e amministratori di sistema sull’esistenza della minaccia, le sue caratteristiche e il fatto che mai come in questo caso vale la regola del prevenire è meglio che curare. Curare i danni di un’infezione da CryptoLocker, avverte Sophos, è al momento impossibile.

CryptoLocker - identificato dal software antivirale di Sophos come Troj/Ransom-ACP - si comporta come il più classico dei software ransomware, prendendo in ostaggio i file e chiedendo all’utente/admin il pagamento di una somma di denaro (300 dollari/euro) per riottenere l’accesso ai dati. Il malware prova a entrare sul sistema tramite allegato e-mail oppure come codice malevolo aggiuntivo scaricato da un malware già presente sulla macchina (botnet), una volta avviata l’infezione si assicura di essere eseguito a ogni boot del PC e avvia la ricerca di file con estensioni “sensibili” (.doc, .docx, .psd ma anche .raw, .jpg e .mdf) su tutti i drive locali e di rete disponibili procedendo alla loro codifica.

Il principale fattore di rischio di CryptoLocker è il modo in cui tale codifica viene eseguita, vale a dire tramite una routine di crittografia asimmetrica basata sull’uso di un paio di chiavi pubblica+privata: ogni macchina infetta viene identificata con un “CryptoLocker ID” univoco, e per ognuno di questi ID il server remoto controllato dai cyber-criminali - scelto da una lista di indirizzi random generata dal malware - crea un paio di chiavi RSA a 2048-bit. La chiave privata - necessaria alla decodifica - viene archiviata sul server lontano da occhi indiscreti, mentre quella pubblica viene utilizzata per cifrare i file individuati durante la scansione.

Se l’utente non paga la somma richiesta in Bitcoin oppure con carta MoneyPak negli USA, spiega un pop-up generato dal ransomware dopo qualche minuto dall’infezione, dopo 72 ore la chiave privata viene eliminata dal server e nessuno - nemmeno gli autori del malware - potrà più decifrare i file criptati. Sophos spiega che la rimozione del malware è una procedura relativamente semplice da eseguire, purtroppo lo stesso non si può dire per il recupero dei file “danneggiati” dal payload del software malevolo: in questo caso le uniche due alternative sono pagare i criminali in tempo o ripristinare i file da una copia di backup “pulita”.

Il rischio posto da CryptoLocker è concreto, e a dimostrarlo arrivano le testimonianze di utenti e riparatori di sistema che hanno avuto a che fare con decine di migliaia di file criptati o centinaia di Gigabyte di dati aziendali divenuti inservibili dopo l’apertura di un allegato e-mail malevolo da parte di un dipendente. In casi del genere anche i tanto strombazzati servizi di cloud storage risultano inutili, avvertono i ricercatori di Sophos, visto che il trojan è perfettamente in grado di infettare i file archiviati sui server remoti nel caso in cui questi risultassero accessibili come quelli presenti in locale.

Read this post in English

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

2 Risposte a “CryptoLocker sequestra i file con la crittografia remota”

  1. Emanuele il 20 Ottobre 2013 15:04

    Certo che l’hanno pensata bene… una cosa però mi sfugge… come si comporterebbero queste schifezzuole con dati salvati in remoto ma dietro login/psw/credenziali varie, oppure su dischi Truecrypt ?

    L’attacco andrebbe in porto ugualmente? il software sarebbe abbastanza furbo da aspettare il tuo accesso per “passare” anche lui o semplicemente per rubarti le credenziali ?

    Perchè in caso contrario in effetti il pericolo reale si può ridurre parecchio pur avendo a che fare con l’utonto più impedito del mondo


    Browser Opera 9.80 Opera 9.80 sull'O.S. Windows 7 Windows 7
    Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16
  2. Sir Arthur, King of Ghouls'n Ghosts il 20 Ottobre 2013 15:29

    Sophos dice che il trojan è progettato per fare la scansione di tutti i drive accessibili, quindi una volta che l’utente “sblocca” l’accesso a file protetti da password in remoto il malware (che nel frattempo è divenuto residente in memoria) dovrebbe avere accesso a quei file infettando documenti, immagini ecc.

    CryptoLocker è chiaramente un lavoro da professionisti, quel genere di “malware-for-profit” di cui non mi occupo molto volentieri (almeno qui sul blog) ma che in questo caso mi sembrava abbastanza interessante da non passare oltre.


    Browser Firefox 3.6.16 Firefox 3.6.16 sull'O.S. Windows Vista Windows Vista
    Mozilla/5.0 (Windows; U; Windows NT 6.0; it; rv:1.9.2.16) Gecko/20110319 BTRS35926 Firefox/3.6.16

Lascia una risposta