Infezione da Cryptolocker e CryptoWall: dati in pericolo

Nelle ultime settimane si stanno moltiplicando le segnalazioni di utenti che si sono visti cifrare, con una chiave crittografica sconosciuta, tutti i documenti ed i file personali memorizzati sul computer.
La stessa Polizia Postale ha comunicato che i casi di sistemi infettati da ransomware Cryptolocker e CryptoWall sono sempre più all’ordine del giorno.

Cos’è un ransomware

I “ransomware” sono una particolare categoria di malware che “prende in ostaggio” il sistema chiedendo poi il versamento di un riscatto: il termine “ransom”, in inglese, significa proprio “riscatto”.

Cryptolocker e CryptoWall sono ransomware che presentano entrambi il prefisso “crypto” perché, diversamente rispetto a noti malware (virus Polizia di Stato, Guardia di Finanza, Polizia Postale, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Polizia Penitenziaria), non cercano di bloccare l’intero sistema quanto, piuttosto, mirano a provocare un danno ancora maggiore rendendo i dati dell’utente totalmente illeggibili. Documenti e file personali, infatti, vengono crittografati utilizzando una coppia di chiavi generate dinamicamente utilizzando l’algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit.

Non conoscendo la chiave per sbloccare i file codificati da Cryptolocker e CryptoWall, l’utente non può più aprire alcun file personale.

A fronte della fornitura della chiave di sblocco, gli sviluppatori dei due ransomware invitano l’utente a versare una somma in denaro (tipicamente fino a 800 dollari/euro). Pagando il riscatto viene promessa all’utente la fornitura della passphrase che permetterà di decodificare tutti i suoi file.

Cryptolocker e le sue varianti

Nel caso delle prime varianti di Cryptolocker, gli utenti hanno potuto rimettere le mani sui loro file, senza pagare alcun riscatto, utilizzando un servizio come Decrypt Cryptolocker.

A metà di quest’anno, infatti, grazie ad un’azione coordinata a livello internazionale, è stato possibile “tagliare le gambe” alla botnet che è servita da infrastruttura per il funzionamento di Cryptolocker. Grazie ai database di chiavi private rilevati sui sistemi utilizzati dagli sviluppatori di Cryptolocker si è potuto allestire un servizio online che ha dato modo, a migliaia di utenti, di recuperare comodamente i propri file: Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l’uso.

Crittografia asimmetrica e algoritmo RSA

Più di recente, hanno iniziato però a circolare varianti di Cryptolocker ancora più pericolose. CryptoWall e le sue varianti hanno così raccolto l’eredità di Cryptolocker rendendo questa volta totalmente irrecuperabili i file cifrati.

L’algoritmo crittografico alla base del funzionamento di Cryptolocker e CryptoWall non è infatti assolutamente in discussione. L’algoritmo RSA, come gli altri algoritmi asimmetrici, basa il suo funzionamento sull’utilizzo di una chiave privata e di una pubblica.
Nel caso dei ransomware, la chiave pubblica viene conservata sul sistema dell’utente mentre quella privata viene mantenuta sui server degli sviluppatori.
Ogni file crittografato con una chiave pubblica, può essere decodificato solamente da chi è in possesso della corrispondente chiave privata.
Nel caso di specie, gli autori di Cryptolocker e “dei suoi fratelli” forniscono all’utente la chiave privata solamente dopo il versamento della quota di riscatto. Nel caso in cui l’utente non provvedesse, la chiave privata viene definitivamente cancellata dopo alcuni giorni rendendo i file definitivamente irrecuperabili (restano perennemente crittografati sul sistema dell’utente).

L’algoritmo RSA non ha mostrato debolezze intrinseche e non è quindi possibile sfruttare una sua vulnerabilità per decifrare i file crittografati dai ransomware.
RSA, infatti, è basato sull’elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è un’operazione molto lenta che richiede un impegno notevole in termini di risorse hardware). RSA-2048 e RSA-4096 (algoritmo RSA con l’utilizzo di chiavi a 2048 e 4096 bit) non sono stati fattorizzati e non lo saranno ancora, presumibilmente, per molti anni, anche considerando i progressi che si stanno facendo nell’ottimizzazione delle risorse computazionali (si pensi alla potenza di calcolo messa a disposizione da molti servizi cloud).

Recupero dei file attraverso l’utilizzo delle copie shadow

L’unico strumento, integrato nelle versioni più recenti di Windows, che consente di tentare il ripristino dei propri dati è la funzionalità Versioni precedenti.

A tal proposito, suggeriamo la lettura dell’articolo Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”. Grazie a “Versioni precedenti” e Shadow copy, si potrà provare a ripristinare le copie dei file memorizzati in numerose cartelle e comunque nella directory Documenti.
In alternativa è possibile ricorrere al programma gratuito Shadow Explorer (vedere l’articolo Recuperare file utilizzando la funzione Shadow Copy).

Nel caso in cui il proprio sistema fosse stato infettato, il primo suggerimento è quello di verificare se fossero disponibili le cosiddette shadow copies dei propri file.
Per stabilirlo, basta cliccare con il tasto destro del mouse, ad esempio, in un’area libera all’interno della cartella Documenti di Windows, cliccare su Proprietà quindi su Versioni precedenti (nel caso di Windows 8.1 vedere l’articolo Recuperare file in Windows 8.1 e ripristinare le versioni precedenti con Cronologia file).

Le ultime varianti di Cryptolocker/CryptoWall, però, una volta insediatesi sul sistema dell’utente provvedono a cancellare tutte le copie shadow dei file rendendo irrecuperabili versioni precedenti, non crittografate, dei medesimi file.
Ne abbiamo parlato nell’articolo Ransomware attacca la pubblica amministrazione: il malware adesso provvede in genere ad eseguire il comando Delete Shadows /All /Quiet cancellando tutte le precedenti versioni dei file dell’utente.

Cosa fare in caso di infezione da Cryptolocker o CryptoWall

Il primo controllo consiste nel verificare con quale versione del ransomware si ha a che fare. Capire se estistano ancora copie shadow dei propri file sul sistema consente ad esempio di stabilire immediatamente se si abbia a che fare con una delle varianti più vecchie oppure con una delle più recenti e pericolose.

Il riscatto viene sempre richiesto in Bitcoin in modo che i flussi di denaro non possano essere tracciati e non permettano di risalire velocemente al “burattinaio” di Cryptolocker/CryptoWall. L’assenza di un ente centrale (la rete Bitcoin si basa su di un’architettura peer-to-peer) rende impossibile bloccare certe transazioni o sequestrare monete virtuali (vedere Come funziona Bitcoin e perché Apple non lo vuole e gli altri articoli).

Pagare il riscatto non è certamente la miglior soluzione ma è purtroppo, al momento, l’unica che generalmente dà modo di riprendere il controllo dei propri file.
Abbiamo scritto “generalmente” perché gli autori dei ransomware non hanno alcun interesse a mantenere crittografati i file degli utenti. Se si diffondesse la notizia che il pagamento del riscatto non sortisce l’effetto sperato, nessun altro utente invierebbe più denaro, sotto forma di Bitcoin, agli sviluppatori di Cryptolocker/CryptoWall.

Ovviamente, l’adozione di politiche di backup dei dati adeguate consentiranno di ripristinare i propri file senza pagare alcunché.

Come difendersi da Cryptolocker e CryptoWall

Il semplice software antimalware, spesso, non è sufficiente per proteggersi dalle più recenti versioni dei ransomware.
Gli autori dei malware, infatti, immettono spesso in rete nuove varianti che sempre più di frequente passano del tutto inosservate ai motori di scansione antivirus più famosi.
Possono trascorrere quindi diverse ore dal momento del primo rilascio in Rete del ransomware (e dal verificarsi delle prime infezioni) all’effettivo aggiornamento delle firme virali utilizzate dai vari prodotti antivirus ed antimalware.

È quindi impossibile pensare di proteggere i sistemi di un’azienda, di uno studio professionale o di un ente pubblico con gli antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali.

Da parte nostra, suggeriamo quindi di:

1) Impostare backup periodici dei propri dati su unità rimovibili, server NAS o server di rete. In ogni caso, però, l’accesso al supporto utilizzato per il backup deve essere adeguatamente protetto (almeno attraverso l’utilizzo di credenziali d’accesso). Nel caso in cui si dovesse verificare un’infezione, il ransomware non deve essere in grado di crittografare anche le copie di backup dei documenti.

2) Se si utilizzano servizi cloud per lo storage dei dati, accertarsi di ricorrere a servizi che offrono il versioning ossia che memorizzano le varie versioni dello stesso file (Google Drive e Dropbox, ad esempio, supportano il versioning).
Particolare attenzione dovrebbe essere riposta nel caso in cui si fosse installato il software client del servizio cloud: attivando la sincronizzazione dei dati memorizzati in locale, nel caso in cui il ransomware dovesse crittografarli, anche le copie conservate sulla nuvola potrebbero diventare illeggibili. Da qui l’importanza cruciale del versioning.
Anche nel caso in cui il servizio cloud supportasse il versioning, è comunque bene controllare per quanto tempo le precedenti versioni degli stessi file vengono mantenute.

3) Utilizzare, ove possibile, un sistema di protezione che agisca a livello centralizzato, che sia basato sull’intelligenza collettiva, che permetta di impostare restrizioni adeguate a livello delle singole workstation e che sia capace di individuare e-mail ed allegati altrettanto sospetti.

4) Utilizzare un’applicazione come HitmanPro.Alert che, tra le varie funzionalità, integra alcuni algoritmi capaci di rilevare per tempo le operazioni messe in campo dai malware e dai ransomware più pericolosi.
Compatibile con i sistemi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2, HitmanPro.Alert è scaricabile cliccando qui.

5) I ransomware come Cryptolocker e CryptoWall si diffondono utilizzando diversi canali:
– allegati a messaggi truffaldini ricevuti via e-mail (facenti riferimento, ad esempio, a false consegne dei corrieri più famosi a livello nazionale ed internazionale; ad opportunità di vincita/lavoro; a falsi pagamenti da regolarizzare…)
– software famosi distribuiti attraverso i vari circuiti peer-to-peer (che in realtà contengono il malware)
– utilizzo di vulnerabilità presenti nelle versioni più vecchie dei plugin per il browser (esempio: Flash Player o Java)

È quindi importante mantenere sempre aggiornato il browser web e tutti i plugin installati; usare la massima attenzione prima di aprire un allegato di un’e-mail; astenersi dal download di applicazioni potenzialmente pericolose.

Attenzione alla comparsa delle finestre UAC in Windows ed alle autorizzazioni concesse ai file eseguibili

Windows integra la funzionalità UAC (User Account Control): introdotta da Microsoft con il rilascio di Vista, si occupa della gestione dei permessi utente accordando quelli più elevati solamente su indicazione dell’utente stesso.
Le finestre di UAC che hanno intestazione di colore giallo e che recano il messaggio “Consentire al programma seguente (…) di apportare modifiche al computer?” sono quelle che debbono essere trattate con maggiore attenzione. Se non si fosse sicuri dell’identità e della legittimità del file che si è in procinto di eseguire, premere sempre il pulsante “No“.

Da ultimo, osserviamo che i ransomware provvedono a cifrare solamente file che hanno determinate estensioni (PDF, DOC, DOCX, ODT, XLS, XLSX, JPG, AVI,…). Rinominare i file con estensioni astruse (ad esempio .PROTEZ) può aiutare ad evitare il blocco da parte di CryptoWall nel malaugurato caso in cui dovesse insediarsi sul sistema.

Anche l’utilizzo di policy di sistema che impediscano l’avvio di programmi dalle directory temporanee di Windows (spesso utilizzate quando si apre un allegato di un messaggio di posta) può risultare particolarmente utile.

L’utilizzo di un server DNS alternativo, come quello di OpenDNS, può contribuire a bloccare proattivamente la diffusione di nuovi ransomware.