CryptoLocker: che cos’è? E come proteggersi?

Facebook
Twitter
LinkedIn
WhatsApp

La National Cyber ​​Crime Unit della NCA ha avvertito che i criminali online hanno lanciato un grave attacco su Internet progettato per tenere in ostaggio i dati dei computer delle vittime e chiedere il pagamento di un riscatto di centinaia di sterline.

L’allarme dei poliziotti informatici avverte che il ransomware CryptoLocker, che crittografa i file del computer e richiede il pagamento di un riscatto per la chiave di decrittazione, è stato distribuito tramite e-mail spam che affermano di provenire da banche e istituti finanziari.

La scorsa settimana, US-CERT ha emesso un avviso simile agli utenti di computer americani.

A quali tipi di computer si rivolge CryptoLocker?
CryptoLocker prende di mira i computer che eseguono versioni di Windows. I computer Mac non sono interessati.

Come si diffonde CryptoLocker?
CryptoLocker non è un virus o un worm, è un cavallo di Troia. Ciò significa che, come la maggior parte dei malware visti oggi, non può viaggiare di propria iniziativa e non si auto-replica.

Invece, CryptoLocker viene generalmente distribuito tramite messaggi di posta elettronica spam, forse affermando di provenire dalla tua banca o da una società di consegna. Se fai clic sul file allegato (che a prima vista potrebbe fingere di essere un file PDF, ma in realtà utilizza il trucco della doppia estensione.PDF.EXE per nascondere la sua natura eseguibile), il tuo computer viene infettato.

Naturalmente, è possibile che i criminali dietro CryptoLocker possano distribuirlo anche in altri modi. Ad esempio, compromettendo i siti Web con kit di exploit dannosi che sfruttano le vulnerabilità del software per installare CryptoLocker sui computer in visita.

Quali file crittografa CryptoLocker?
Una volta che il tuo computer è stato infettato, CryptoLocker cerca i file da crittografare. Non solo sul tuo disco rigido, ma su qualsiasi unità connessa, comprese le condivisioni di rete mappate e persino le cartelle che potresti sincronizzare con il cloud, come DropBox.

I nomi di file che corrispondono ai seguenti modelli vengono crittografati da CryptoLocker:

?????????.jpe,????????.jpg, *.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *. dxg, *.eps, *.erf, *.indd, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p7b, *.p7c, *.p12, *.pdd, *.pef, *.pem, *.pfx, *. ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx, img_*.jpg

Quindi, potresti dire addio ai tuoi documenti, ai tuoi database, alle tue fotografie, alle tue diapositive PowerPoint, ai tuoi fogli di calcolo e molto altro ancora.

Vedrò qualcosa sullo schermo che mi dica che sono stato colpito?
Solo quando è troppo tardi.

Dopo che i file sono stati crittografati, CryptoLocker visualizza un messaggio che richiede di inviare elettronicamente il pagamento del riscatto (le opzioni possono includere Bitcoin, MoneyPak cashU o UKash) per decrittografare i file.

I tuoi file personali sono crittografati!

La crittografia dei tuoi file importanti prodotti su questo computer: foto, video, documenti, ecc. Ecco un elenco completo dei file crittografati e puoi verificarlo personalmente.

La crittografia è stata prodotta utilizzando una chiave pubblica univoca RSA-2048 generata per questo computer. Per decifrare i file è necessario ottenere la chiave privata.

La singola copia della chiave privata, che permetterà di decifrare i file, situata su un server segreto su Internet; il server distruggerà la chiave dopo un tempo specificato in questa finestra. Dopodiché, nessuno e mai sarà in grado di ripristinare i file…

Per ottenere la chiave privata per questo computer, che decritterà automaticamente i file, è necessario pagare 300 USD/ 300 EUR/ importo simile in un’altra valuta.

Fare clic su <<Avanti>> per selezionare il metodo di pagamento e la valuta.

Qualsiasi tentativo di rimuovere o danneggiare questo software comporterà l’immediata distruzione della chiave privata da parte del server.

Viene visualizzato un timer di 72 ore, che scorre verso il basso e spiega che se non paghi la richiesta di riscatto, i tuoi file saranno permanentemente inaccessibili e impossibili da decifrare.

L’orologio sta ticchettando…

MoneyPak? Bitcoin? Non posso invece pagare il riscatto di CryptoLocker con una carta di credito?
No, i criminali non danno l’opzione della carta di credito.

Uno dei motivi è presumibilmente perché sarebbe facile per le vittime “pagare” il riscatto utilizzando la propria carta di credito per decrittografare i propri file e quindi utilizzare il riaddebito per recuperare i propri soldi.

Naturalmente, molte persone potrebbero non sapere come inviare fondi tramite Moneypak o Bitcoin, un possibile ostacolo per i criminali.

Quindi, se non pago il riscatto in tempo, tutti i miei dati andranno persi?
Non proprio. La prima speranza deve essere che tu abbia mantenuto backup regolari dei tuoi dati importanti, separati dal tuo computer, e che tu possa ripristinare il tuo sistema da loro. Se non stavi conservando i backup, impara qualcosa da questa orribile esperienza.

In secondo luogo, e non ti consiglio di scegliere questa opzione, è stato riferito che i criminali stanno ora dando alle vittime la possibilità di pagare il riscatto *dopo* che la scadenza è scaduta e di ottenere la decrittazione dei loro file in questo modo.

Questo servizio ti consente di acquistare chiave privata e decryptor per i file crittografati da CryptoLocker.

Se hai già acquistato la chiave privata utilizzando CryptoLocker, puoi scaricare la chiave privata e il decryptor GRATUITAMENTE.

Indipendentemente dal fatto che tu approvi o meno l’incoraggiamento dei ricattatori pagando il riscatto, il fatto che questo servizio di decrittazione tardiva sia accessibile solo tramite TOR, e non il web convenzionale, probabilmente lo mette fuori dalla portata dei tipici utenti di computer.

Il software antivirus non può rimuovere CryptoLocker e salvare i miei dati?
Un buon software antivirus dovrebbe essere in grado di rilevare e rimuovere CryptoLocker, tuttavia, rimuovere CryptoLocker non equivale a decrittografare i file di dati. E il software antivirus non può decifrare i tuoi dati.

Se rimuovi un’infezione da CryptoLocker non sarai in grado di pagare il riscatto per decrittografare i tuoi file.

Affascinante, i criminali dietro CryptoLocker lo hanno anticipato e hanno cambiato lo sfondo di Windows sui computer infetti per spiegare come gli utenti possono scaricare e reinstallare CryptoLocker!

CryptoLocker

La crittografia dei tuoi file importanti prodotti su questo computer: foto, video, documenti, ecc.

Se vedi questo testo, ma non vedi la finestra “CryptoLocker”, il tuo antivirus ha eliminato “CryptoLocker” dal computer.

Se hai bisogno dei tuoi file, devi recuperare “CryptoLocker” dalla quarantena dell’antivirus, o multare una copia di “CryptoLocker” in Internet e riavviarlo.

Come ti proteggi da CryptoLocker?
Cryptolocker è una seria minaccia. Se sei abbastanza sfortunato da avere il tuo computer infettato da esso e non hai preso precauzioni, potresti trovarti nella spiacevole situazione di dover scegliere se pagare il riscatto o non avere più accesso ai tuoi dati.

Ciò significa che stai dicendo addio alle tue foto di famiglia e a qualsiasi altro dato personale che hai accumulato nel corso degli anni. Se sei un’azienda, le potenziali perdite potrebbero essere ancora più significative.

La risposta è triplice.

In primo luogo, proteggi il tuo computer dall’infezione mantenendolo aggiornato con antivirus e patch di sicurezza. Prestare attenzione anche all’apertura di allegati e-mail non richiesti o al clic su collegamenti sconosciuti. Se sei esperto di sicurezza puoi ridurre le possibilità di essere colpito da una minaccia come CryptoLocker.

In secondo luogo, considera l’impostazione di un criterio di restrizione software sui tuoi PC Windows che impedisca l’esecuzione di eseguibili da determinate posizioni sul tuo disco rigido.

Infine, per l’amor del cielo, fai dei backup dei tuoi dati importanti e tienili separati dal tuo computer (per impedire a malware come CryptoLocker di crittografare anche i tuoi backup) In questo modo, se dovesse accadere il peggio, dovresti essere in grado di ripristinare i tuoi preziosi dati e non pagare fino ai truffatori.

Ulteriori letture
Per saperne di più su CryptoLocker e su come dovresti rispondere, ti consiglio di consultare le FAQ di BleepingComputer .

Hai incontrato CryptoLocker? Condividi i tuoi pensieri e le tue esperienze lasciando un commento qui sotto.

Hai trovato questo articolo interessante? Segui Graham Cluley su Twitter o Mastodon per leggere altri contenuti esclusivi che pubblichiamo.