Ransomware CryptoLocker CryptoWall Coinvault Bitcryptor

Definizione e manifestazioni

CryptoLocker è una tipologia di Ransomware  apparsa, con questo nome, sin dalla dalla fine del 2013.
E' originariamente progettato per attaccare i sistemi operativi Windows, criptando i file dell'utente con una chiave pubblica RSA-2048 (praticamente inviolabile).
CryptoLocker CryptoWall Coinvault Bitcryptor designato tecnologie diverse , impiegate per attacchi  Ransomware.

 

Recupero dei file

Nel caso delle prime varianti di Cryptolocker, grazie alla intercettazione della rete di bot utilizzata dagli hacker, è stato possibile mettere a punto strumenti per la decifratura dei file. Gli utenti hanno così potuto rimettere le mani sui loro file, senza pagare alcun riscatto, utilizzando servizi come  Decryptolocker.

Altre strategie, ed aggiornamenti riguardo il recupero dei dati,
sono stati pubblicati da Bleepingcomputer .

A partire dalla metà del 2014,
hanno iniziato però a circolare varianti di Cryptolocker ancora più pericolose. CryptoWall e le sue varianti hanno così inasprito gli attacchi di Cryptolocker, rendendo questa volta i file cifrati  totalmente irrecuperabili grazie ad algoritmi di cifratura ancora più robusti, basati su RSA-2048 ed RSA-4096.
Le altre tecnologie adottano algoritmi e chiavi di robustezzza pari o superiore.

L'arresto di alcuni gruppi criminali, ha permesso alle autorità di entrare in possesso di liste di chiavi, imipegate per criptare i file di un certo numero di vittime.

In questa pagina https://noransom.kaspersky.com/
Kaspersky ha messo a disposizione strumenti gratuiti che, consultando tali liste, possono permettere la decifratura dei dati delle vittime.
Questo è possibile SOLO se la vittima fa parte di quelle attaccatte da uno dei gruppi di criminali arrestati dalle autorità. Purtroppo, ad oggi, i criminali arrestati rappresentano una minima parte di quelli che operano questo genere di attacchi.
In tutti gli altri casi,

per decifrare i file, la vittima deve pagare un consistente riscatto in BitCoins.
Non si conoscono al momento modi alternativi al pagamento del riscatto per la decrittazione dei file.



Shadow Copy

Sui server e client intaccati da Cryptolocker, che hanno attivate le copie shadow, in alcuni casi è possibile utilizzarle, per il recupero di versioni dei file, precedenti la cifratutra.  ShadowExplorer può fornire un ausilio in questo processo.
Purtroppo però, in buon aparte degli attacchi recenti, il malware esegue  anche il comando Delete Shadows /All /Quiet , cancellando così tutte le precedenti versioni dei file.


Backup

Il backup rappresenta una forma di protezione universale dei propri dati,
nei confronti di tutti i tipi di malware, guasti, e danneggiamenti accidentali.
Tutti gli utenti dovrebbero dotarsi di una adeguato strumento e strategia di backup dei propri dati.
Per trovare una soluzione di protezione dei tuoi dati, adatta alle tue esigenze, contattaci.

 

Rimozione

Quando l'attacco si manifesta con la richiesta di riscatto, in genere l'hacker ha già rimosso il software utilizzato per sferrare l'attacco e per cifrare i file. Il software residuo è solo quello necessairo per mostrare la richiesta di riscatto , e per decifrare i file, in caso di pagamento del riscatto stesso.
In sintesi la componente maligna del software utilizzato per l'attacco NON è già più presente.

Questo implica che
1. Non è possibile ottenere dalle macchine già compromesse impronte del software maligno impiegato per l'attacco. Questo metterebbe velocemente gli antivirus scanner in condizioni di intercettarlo e bloccarlo.

2. la rimozione del software residuo, per il quale proposito esistono diversi strumenti ed ausili, anche se interrompe il sintomo più manifesto (la richiesta di riscatto) non rappresenta in alcun modo una cura , tantomeno una prevenzione. In oltre (IMPORTANTE), una volta rimosso il software residuo, si inibisce totalmente la possibilità di avere i file decriptati, in caso di pagamento del riscatto. Sebbene il pagamento del riscatto non comporti alcuna garanzia di recupero dei dati, e sia complessivamente sconsigliabile cedere al ricatto dei malintenzionati, questo fattore deve essere posto in evidenza con i titolari dei dati, prima di procedere agli interventi di rimozione.

 

Prevenzione

Le modalità note impiegate da questi attacchi, e le strategie note per prevenirli, sono raccolte in questo articolo: Attacchi Ransomware

Nessuna soluzione antimalware attualmente sul mercato può garantire protezione assoluta nei confronti di qualunque tipo di attacco di questo genere, poichè le tecniche ed i file utilizzati sono molteplici, in continua evoluzione, ed alcuni di essi sono addirittura human driven.

Bitdefender ha pubblicato altri suggerimenti utili alla difesa da varianti nuove e/o sconosciute, in questo articolo:
How to protect from CryptoWall

Gli AVG Labs hanno pubblicato news e raccomandazioni al riguardo qui:
http://now.avg.com/new-cryptolocker-variant/

Per  contrastare gli attacchi,
oltre alle imprescindibili raccomandazioni presenti nei suddetti articoli,
è possibile utilizzare alcuni strumenti gratuiti, es:
Bitdefender Cryptolocket Blocking Tool (solo per computer che NON hanno una protezione Bitdefender già attiva)

CryptoPrevent (FreeVersion)

I Bitdefender Labs pubblicano con solerzia informazioni e strumenti
presso il sito Bitdefender Labs
nel canale Twitter Bitdefender