23008 Letture

Cryptolocker: nuova ondata di attacchi in Italia

Italiani bersaglio di una nuova ondata del ransomware Cryptolocker. Il malware che, una volta insediatosi sul sistema, "prende in ostaggio" tutti i file personali dell'utente memorizzati sul personal computer, torna nuovamente a far parlare di sé.
Per avere ancori maggiori chances di essere eseguito sul sistema degli utenti, Cryptolocker si sta presentando in queste ore via email proponendo un'email fasulla relativa ad un ordine di prodotti commissionato a varie società.

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti". Questo l'incipit dell'email truffaldina, il cui testo prosegue con una lista di prodotti e si conclude con la frase "Si prega di aprire il file allegato per maggiori informazioni".

Aprendo il file allegato (questa volta un file con estensione .CAB) di fatto di eseguire il ransomware sul proprio sistema e si permette così a Cryptolocker di porre sotto scacco tutto quanto in esso conservato.
Documenti e file, infatti, vengono crittografati utilizzando una chiave che viene generata dinamicamente sui server dei criminali informatici. Senza tale chiave, almeno nel caso delle più recenti varianti di Cryptolocker, è impossibile recuperare i propri file. Contando sulla solidità degli algoritmi crittografici RSA-2048 e RSA-4096, gli autori di Cryptolocker chiedono all'utente il versamento di un riscatto di importo variabile (fino a 800 euro).

Marco Giuliani, CEO dell'italiana Saferbytes, sottolinea quanto le tecniche di ingegneria sociale utilizzate dagli autori di Cryptolocker stiano via a via evolvendo: "l'email è scritta in un italiano perfetto così da renderla il più possibile credibile".

Cryptolocker: nuova ondata di attacchi in Italia

Il ransomware, che ha un comportamento simile a quello di Cryptolocker, si chiama CTB-Locker, spiega ancora Giuliani che ci fornisce anche la lista completa dei file oggetto di attacco (quei file, cioè, che vengono crittografati dal malware rendendoli inaccessibili da parte dell'utente):


wm kwm txt cer crt der pem doc cpp c php js cs pas bas pl py docx rtf docm xls xlsx safe groups xlk xlsb xlsm mdb mdf dbf sql md dd dds jpe jpg jpeg cr2 raw rw2 rwl dwg dxf dxg psd 3fr accdb ai arw bay blend cdr crw dcr dng eps erf indd kdc mef mrw nef nrw odb odm odp ods odt orf p12 p7b p7c pdd pdf pef pfx ppt pptm pptx pst ptx r3d raf srf srw wb2 vsd wpd wps 7z zip rar dbx gdb bsdr bsdu bdcr bdcu bpdr bpdu ims bds bdd bdp gsf gsd iss arp rik gdb fdb abu config rgx



Dal punto di vista prettamente tecnico, Giuliani spiega che l'infezione non viene eseguita normalmente all'avvio come chiave di registro, ma viene creata un'attività pianificata in Windows all'interno del file C:\WINDOWS\tasks\nomerandom.job.

Il ransomware CTB-Locker, inoltre, ed è proprio su quest'aspetto che si sta concrentando l'analisi di Giuliani, offre una funzionalità freemium. Il ransomware dà cioè la possibilità di decodificare 5 file criptati, con il preciso obiettivo di mostrare all'utente che è in grado di farlo.
Se il ransomware può decodificare i file senza scaricare la chiave privata dal server, allora probabilmente significa che la chiave RSA privata è ancora in locale da qualche parte. Infine, CTB-Locker - conclude Giuliani - non si appoggia alle librerie CryptoAPI di Windows ma include nel proprio codice OpenSSL.

Nell'articolo Infezione da Cryptolocker e CryptoWall: dati in pericolo abbiamo spiegato che cos'è Cryptolocker e come proteggersi da questo tipo di aggressioni.
Nella successiva news Cryptolocker e CryptoWall: Italia sotto attacco abbiamo evidenziato come, purtroppo, l'Italia sia al primo posto per infezioni da Cryptolocker e ransomware in generale.

  1. Avatar
    Edo1980
    01/02/2015 11:51:42
    Consiglio l'installazione di Panda Global Protection 2015 oppure Panda Internet Security 2015, software AntiVirus che prevedono entrambi la funzionalità "Scherma dati". Saluti
  2. Avatar
    Sampei Nihira
    01/02/2015 10:15:10
    Sempre in tema prevenzione. A parte il mio consiglio (da sempre) agli utenti di non tenere i loro dati sensibili nella partizione di sistema vi inserisco un consiglio "alternativo" di Kees per eliminare questo problema: http://www.wilderssecurity.com/threads/ ... re.373004/ l'uso del sw "Secure Folders". Si tratta di proteggere i vostri documenti importanti con la scelta "sola lettura". A chi interessa consiglierei di downloadare il sw e fare un pò di pratica.
  3. Avatar
    Luca Lardello
    31/01/2015 16:23:26
    ma a voi risulta che se si paga, danno davvero la possibilità di recuperare?
  4. Avatar
    Michele Nasi
    31/01/2015 15:23:52
    Sì, come scritto ad esempio nell'articolo http://www.ilsoftware.it/articoli.asp?t ... -uso_11210, i file cifrati dalle prime versioni di Cryptolocker potevano essere decodificati grazie alle chiavi private che sono state recuperate dopo la chiusura della botnet sulla quale si basava il ransomware. Per le varianti successive non è stato ovviamente possibile recuperare nulla. CTB-Locker è invece attualmente in fase di studio. Leggi la parte dell'articolo dove si parla della funzionalità "freemium". Il comportamento tenuto dal ransomware potrebbe, forse, lasciare spazio al recupero della chiave privata in ambito locale. Vedremo.
  5. Avatar
    Sbronzo di Riace
    31/01/2015 11:44:32
    non c'è nessun recupero dati se non paghi
  6. Avatar
    Luca Lardello
    31/01/2015 10:20:09
    buongiono a tutti, un mio amico ha beccato il virus, si è fatto fregare alla grande. qualcuno a qualche novità sul recupero dei dati grazie Luca
  7. Avatar
    Surfer
    30/01/2015 08:34:59
    Ho ricevuto anche io , inizio settimana la stessa mail . Figurati che attendo veramente un rimborso ( anche se di un importo piu' basso ... ) . Era chiarmente una spam soprattutto x quel file .cab . Ero curioso di farlo girare su macchina virtuale per vedere cosa combinava pero' avendo un solo PC ho preferito non rischiare . Direttore volevo chiederti se VMware /virtualbox adeguatamente isolate ( usb e cartelle condivise con accesso bloccato ) forniscono un adeguato ambiente sicuro di prova ?
  8. Avatar
    giancarlp
    29/01/2015 16:28:17
    Ho ricevuto anche io questo tipo di messaggio mi dovevano restituire 906 euro per un ordine che non avevo fatto, sospettoso ho cancellato la email. Grazie comunque.
Cryptolocker: nuova ondata di attacchi in Italia - IlSoftware.it