Michele Angeletti - Come difendersi dal virus che chiede un riscatto

Nel video sottostante analizzo e spiego molti aspetti dei virus del riscatto della famiglia Cryptolocker. Il video dura 36 minuti, ma penso che possa chiarire molte cose a chi, fino ad oggi, non ha mai sentito parlare di virus Cryptolocker, di riscatti, di Bitcoin.

Aggiornamento all'8 novembre 2019

Oggi ho avuto modo di confrontarmi con una nuova variante di Cryptolocker, il cui nome, Nomikon 1.0, compare nel nome della pagina html in cui è espressa la richiesta di riscatto.

Il virus sembra sia entrato nel tentativo di scaricare un filmato con estensione .mp4 (dico sembra perchè non ho trovato tracce dirette). I files vengono crittografati con estensione .jrmcu aggiunta alla fine del nome e, in ogni cartella infetta, viene creato un file DECRYPT.html contenente la richiesta di riscatto che posto qui di seguito:

Il file responsabile dell'infezione è doppio. In una cartella temporanea il file ha nome ms.exe. Una copia, invece, si sovrappone al file eseguibile di One Drive, in modo da semplificare la riattivazione del virus ad ogni riavvio del computer (in Windows 10 One Drive viene avviato automaticamente). Il file eseguibile originale di One Drive viene rinominato con una lettera s iniziale e non cancellato.

Nella pagina di richiesta del riscatto viene visualizzato un timer. Il timer serve per mettere fretta a chi intende pagare: infatti dopo 6 giorni la richiesta economica raddoppia. La novità consiste nel fatto che il timer non si avvia alla prima apertura della pagina di riscatto come avviene per la variante FTCODE, ma parte direttamente nel momento nel quale il virus inizia la propria azione di crittografia.

Sul desktop compare invece un'immagine a sfondo bianco in cui un testo avvisa dell'avvenuta crittazione dei file. Nel testo compare il nome dell'utente del computer.

Sul fronte FTCODE, le richieste si attestano ormai sui 2.000/3.000 US$ iniziali, confermando la tendenza al rialzo già evidente negli ultimi giorni.

Aggiornamento al 18 ottobre 2019

Oggi ho avuto evidenza di infezioni della variante FTCODE che chiedono un riscatto iniziale di 3.000 dollari. Fino ad oggi le richieste iniziali erano sempre di 500 dollari.

Questo aumento vertiginoso è preoccupante, data la facilità con la quale questo virus sta colpendo.

Nell'aggiornamento del 14 ottobre sottostante potrete trovare maggiori informazioni sulla variante FTCODE.

Aggiornamento al 14 ottobre 2019

E' attiva in questi giorni l'ennesima variante del Cryptolocker. Si chiama FTCODE e si propaga attraverso un allegato Word in formato DOC contenuto in un'email PEC fraudolenta. L'email può arrivare da un indirizzo conosciuto e può sembrare assolutamente attendibile. Ritengo che la diffusione di questo virus raggiungerà i livelli toccati anni fa dalle email della falsa bolletta Telecom. Se si apre l'allegato della PEC, il virus attacca tutti i dischi del computer (locali, di rete, USB) crittografando i files di maggiore utilizzo (PDF, DOC, XLS, JPG, database di vario tipo, ecc).

Il prezzo richiesto parte da 500$ per raggiungere, dopo pochi giorni, i 25.000$. In ogni cartella contenente files crittografati viene creato un file READ_ME_NOW.HTM contenente le istruzioni di riscatto (consultabili attravero browser Tor).

Da notare che alla prima apertura della pagina di riscatto si attiva un timer, il quale fa crescere, col passare dei giorni, la richiesta economica.

La pagina di riscatto permette di decrittografare gratuitamente un file di dimensione minore di 1 Mb.

Ad oggi non esiste un decrittatore in grado di recuperare i files colpiti da questa variante.

Si raccomanda, come sempre, di installare un buon antivirus a pagamento sul proprio computer e di effettuare regolari copie di backup dei dati, a salvaguardia degli stessi.

Aggiornamento al 3 settembre 2019

A seguito della notizia delle cessate operazioni da parte degli autori del Gandcrab, è ora possibile decrittare i files crittografati da 3 delle 5 varianti del virus.

In queste settimane molte nuovi varianti stanno colpendo in Italia. Cito quella a mio avviso più temibile, la Sodinokibi. Essa viene inoculata tramite accessi in desktop remoto sui server e crittografa tutti i files di dati che trova in tutte le cartelle cui il server ha accesso. Ho personalmente verificato che, in un attacco, l'hacker ha creato, con un'unica infezione, 3 distinte chiavi con 3 distinti files di richiesta riscatto. E' la prima volta che assisto ad un fenomeno del genere, che ritengo estremamente preoccupante perchè se una chiave di decrittografia comporta l'ipotesi del pagamento di un riscatto, tre chiavi triplicano l'importo dell'eventuale pagamento.

Aggiornamento al 4 giugno 2019

Il 1 Giugno 2019 gli sviluppatori del ransomware Gandcrab hanno annunciato nel Dark Web che non svilupperanno più il loro virus e che cesseranno qualsiasi attività.

I creatori di Gandcrab sostengono di aver guadagnato oltre 2 miliardi di dollari. con una media di 2,5 milioni di dollari a settimana, ed invitano tutti coloro che hanno ancora files crittografati a pagare entro fine mese. In quella data, stando al post, tutte le chiavi di decrittografia verranno cancellate dai server, e non sarà possibile in alcun modo recuperare i files.

Per approfondimenti; https://pbs.twimg.com/media/D79r4uHXYAAzxT-.jpg:large e https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/.

Il Gandcrab è attivo da Gennaio 2018 ed ha colpito migliaia di computer in tutto il mondo. Il virus è stato costantemente aggiornato e, sebbene esista un decrittatore in grado di recuperare files crittografati dalle varianti 1, 4 e 5 (fino alla 5.0.3), rimane uno dei virus più dannosi in circolazione.

Cosa succederà a fine mese? Nessuno può dirlo, ma gli scenari possono essere due:

I creatori del Gandcrab rilasceranno delle chiavi universali di decrittografia dei files, permettendo a chi è stato colpito di recuperare i propri files.
Nessuna chiave universale verrà rilasciata.

Nel primo caso (peraltro già verificatosi con diverse varianti di ransomware), tutti potranno tornare in possesso dei propri files.

Nel secondo caso il problema sarà enorme, e l'unica speranza di recuperare i files crittografati sarà nella capacità degli esperti di individuare una chiave di decrittografia funzionante. Cosa non riuscita finora e difficilmente possibile.

In ogni caso, consiglio alle vittime del Gandcrab di conservare i files e di attendere sviluppi.

Aggiornamento al 7 gennaio 2019

Il virus del riscatto, o Cryptolocker, è un virus che crittografa i files presenti in un computer rendendoli illeggibili. Scopo dei delinquenti che hanno creato questa famiglia di virus è quello di chiedere, alla vittima, un riscatto per ottenere un decrittatore in grado di recuperare i files danneggiati.

Nella maggior parte dei casi, il virus si diffonde attraverso un attacco diretto da Internet effettutato da un hacker che accede ad un computer sul quale è attiva la funzione di Desktop Remoto: l'hacker, una volta preso il controllo del computer, disattiva tutti i sistemi di sicurezza ed inocula il virus. Questo è il caso nel quale i danni sono maggiori, perchè la macchina infetta è totalmente in mano all'hacker, che può controllare l'eventyuale presenza di files di backup e colpire anch'essi con facilità.

In altri casi il virus si diffonde attraverso link o allegati contenuti in messaggi fraudolenti di posta elettronica. In tal caso, aprendo il link (o l'allegato), il virus viene attivato e provvede a crittografare tutti i dati del computer utilizzato.

In altri casi ancora il virus si inocula nel sistema attraverso pagine web infette, In casi sempre più frequenti entra in un computer sfruttando una connessione di Desktop Remoto protetta da una password troppo semplice.

Quale che sia la modalità d'infezione, il danno provocato è molto simile. Nello specifico:

Vengono crittografati i file utente degli hard disk del computer (le estensioni dei files.variano a seconda della tipologia di virus, sono comunque colpiter le estensioni più diffuse come: .DOC,.DOCX,.XLS, .XLSX, .PDF, .JPG, .MDB, .PST).
Vengono crittografati i file presenti in hard disk o pennette USB connessi all computer al momento dell'infezione o successivamente,
Vengono crittografati i file dell'utente presenti in cartelle di rete condivise da altri computer.

Cosa è importante sapere:

I files crittografati dal virus vengono parazialmente riscritti con un codice di crittografia la cui chiave è univoca (diversa per ogni computer infettato) e segreta. Gli unici a conoscerla sono i creatori del virus. Tali files non possono essere più aperti, letti o modificati.
I files crittografati non sono infettanti, così come eventuali hard disk o pennette USB colpiti dal virus non propagano l'infezione se attaccati ad altri computer.
Ad ogni riavvio, nella maggior parte delle infezioni, il virus si riattiva e continua la sua opera distruttiva. E' quindi buona norma tenere un pc infetto spento.
In caso di ambienti di rete con cartelle condivise da un server, un NAS o altri computer, è fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione del danno.

Le varianti più diffuse in questi giorni vengono inoculate nei computer sfruttando delle vulnerabilità del desktop remoto di Windows.

I nomi sono diversi, tra di essi spiccano il famigerato Dharma (ormai attivo da oltre un anno) che modifica i nomi dei files con estensioni sempre nuove, la più recente delle quali è adobe. Molto attive sono le varianti Rapid, Matrix e Bip. Per queste nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

In caso di infezione diretta su un Server attraverso attacco al Desktop Remoto, l'hacker disattiva eventuali antivirus e tutte le protezioni presenti sul server. Solo successivamente inocula il virus sul Server ed inizia l'attacco, quindi è impossiile recuperare dati dal Server. In seguito all'infezione, i files presenti sui dischi e colpti cambiano nome, assumendo un'aspetto simile a questo: FIle_2017.xlsx.id-62EFC9C9.[recfile@protonmail.com].cobra (al nome del file viene aggiunto l'ID univoco, un'email su cui contattare l'hacker responsabile dell'attacco e un nome che identifica la variante del virus).

Raccomando, in caso di infezione, la massima tempestività nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico (NON UN PARENTE O UN AMICO SMANETTONE, responsabili, spesso, di danni peggiori di quelli indotti dal virus). Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Se l'infezione colpisce un ufficio dove sono presenti più computer, spegnete immediatamente tutti i computer, per evitare che l'infezione possa propagarsi dal computer "untore" agli altri. Particolare attenzione va prestata all'eventuale server, che va isolato dalla rete appena ci si rende conto dell'infezione,

Le raccomandazioni sono sempre le stesse: se infetti, spegnete immediatamente il PC e chiamate il vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili. Io ho sede a Roma, ma posso, attraverso connessione remota, operare tranquillamente a distanza.

In caso di infezione attenetevi a queste semplicissime procedure:

Spegnete immediatamente il computer, anche brutalmente staccando la spina di alimentazione. Se il virus vi infetta, agisce molto velocemente, Non riavviate il computer: ad ogni riavvio il virus continua a crittografare i vostri files, estendendo l'entità del danno.
Rimuovete eventuali dispositivi USB connessi al sistema (pennette, hard disk, chiavette di firma digitale, ecc.).
Se il computer è connesso in rete ad altri computer o server, staccate immediatamente il cavo di rete e spegnete tutti gli altri computer/server della rete.
Contattate immediatamente il vostro tecnico di fiducia, facendogli presente il tipo di virus che vi ha colpito.
La rimozione del virus richiede un massimo di un'ora di intervento. Se il vostro tecnico sostiene che deve portare via il computer infetto, o che deve formattarlo, consiglio calorosamente di affidarsi a qualcuno più esperto. La formattazione del computer rende vana la possibilità, in futuro, di recuperare i files crittografati.

Aggiornamento al 25 ottobre 2018

E' stato rilasciato oggi un decrittatore in grado di decrittografare i files colpiti dalle varianti 1, 4 e 5 del virus Gandcrab. Il Gandcrab è una variante del Cryptolocker molto attiva negli ultimi mesi.

Aggiornamento al 7 dicembre 2017

Le varianti più diffuse in questi giorni vengono inoculate nei computer sfruttando delle vulnerabilità del desktop remoto di Windows. Possono essere anche violati accessi remoti gestiti da TightVNC.

I nomi sono diversi, tra di essi spiccano il Cobra, lo Shadow, il Payday e l'Arena , Per queste nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 1 agosto 2017

I nomi sono diversi, tra di essi spicca il Satan, il BTCWare ed il GlobeImposter 2.0, Per questa nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 19 maggio 2017

Da oggi è possibile, in molti casi, decrittografare, oltre ai files infetti dalle varianti DHARMA e WALLET, anche le varianti XTBL, CRYSIS, CRYPT, LOCK, CRYPTED e ONION..

Per info contattatemi al 335/7874178.

Aggiornamento al 18 maggio 2017

Da oggi è possibile, in molti casi, decrittografare files infetti dalle varianti DHARMA e WALLET. Si tratta di due varianti molto simili, che si propagano attraverso connessioni di Desktop Remoto (RDP) poco sicure, ed aggiungono ai files crittografati una lunga estensione contenente un indirizzo email e la desinenza finale .wallet o .dharma (ad esempio "relazione.doc.[oron@india.com].dharma" o "brochure.pdf.[webmafia@asia.com].wallet".

Per info contattatemi al 335/7874178.

Aggiornamento al 15 maggio 2017

La variante più diffusa in questi giorni si chiama WANNACRY e viene inoculata nel computer sfruttando delle vulnerabilità dei sistemi operativi più vecchi o non aggiornati. Se ne sta parlando moltissimo (finalmente) su molti siti, anche di quotidiani, ma si dimentica di scrivere il dato più importante: senza un backup valido e sicuro non ci sono molte possibilità di superare indenni una simile infezione.

Aggiornamento sulle varianti decrittabili - 28 marzo 2017

Nelle ultime settimane sono uscite soluzioni per le infezioni che colpiscono attraverso connessione remota (RDP) aggiungendo estensione DHARMA ai files infetti e alle infezioni che si diramano attraverso allegati email che aggiungono estensione R9OJ (Crypton).

Ancora non si trovano soluzioni per le infezioni che colpiscono attraverso RDP aggiungendo estensione WALLET.

Ricordo che sono decrittabili tutte le varianti del virus che aggiungono estensioni di tipo: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro ed mp3.

Per informazioni contattatemi al 335/7874178 o via email.

Aggiornamento al 28 marzo 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email a volte conosciuto, contenente un allegato ZIP, un file DOC o un file XLS di una fattura. All'interno del file ZIP si trova un file con estensione JS o EXE, che inocula il virus. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Per queste nuove varianti non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Purtroppo per i virus di nuova generazione non stanno uscendo soluzioni gratuite in grado di permettere la decrittografia dei files, quindi i danni arrecati dalle nuove varianti del Cryptolocker sono consistenti e da non sottovalutare.

Aggiornamento al 22 febbraio 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email a volte conosciuto, contenente un allegato ZIP di una fattura. All'interno del file ZIP si trova un file con estensione JS, che inocula il virus. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Per queste nuove varianti non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 16 gennaio 2017

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email conosciuto, dal corriere SDA o da EQUITALIA. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto. Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).

Aggiornamento al 7 dicembre 2016

La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente dal corriere SDA. I files infetti vengono identificati da un'estensione a 6 lettere casuali, diversa per ogni file. Nelle cartelle infette vengono salvati 2 files, uno con estensione HTML ed uno con estensione TXT dal nome COME_RIPRISTINARE_I_FILES.

Per questa variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

Aggiornamento al 19 settembre 2016

Le varianti che stanno agendo in questo periodo sono tante, in particolare colpiscono fortemente quelle che aggiungono, ai files crittografati, le estensioni .crypt, .crypz, un'estensione formata da 7 lettere casuali, .zepto, .cerber, .petya.

Aggiornamento al 21 giugno 2016

Il virus del riscatto continua a colpire incessantemente. Le varianti più diffuse in questi giorni sono quelle che aggiungono, ai files crittografati, le estensioni .crypt, .crypz e un'estensione formata da 7 lettere casuali.

Aggiornamento al 24 maggio 2016

Da oggi sono in grado di aiutarvi a recuperare i files crittografati dalle varianti del Cryptolocker che aggiungono ai nomi dei files infetti estensione di tipo: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro ed mp3. Per info e modalità contattatemi al 3357874178.

Aggiornamento al 14 maggio 2016

In questi giorni sono particolarmente frequenti casi di infezioni che aggiungono ai files infetti l'estensione .encrypted o .crypt.

Queste infezioni sono meno "cattive" delle precedenti, e sono più facilmente recuperabili, a patto di intervenire tempestivamente.

Se la variante .encrypted colpisce attraverso email fraudolente, la variante .crypt viene inoculata da siti web infetti.

Raccomando sempre, in caso di infezione, la tempestività nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico. Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Aggiornamento all' 11 aprile 2016

In queste ultime settimane sono riapparsi, dopo un'apparente pausa, delle vecchie varianti della famiglia dei virus Cryptolocker: quelle che si propagano attraverso false bollette Telecom ed Enel e false cartelle Equitalia.

Nuove varianti sono ora attive, e spesso non vengono individuate da alcun antivirus. Per la prima volta i file che vengono creati dal virus e che crittografano i dati degli utenti sono invisibili anche ad un controllo approfondito. Ho personalmente constatato che in questi casi l'unica possibilità di rimozione del virus è un intervento manuale.

Altro elemento di novità è costituito dal tipo di file utilizzato dal virus per inocularsi. Ora, all'interno del file .ZIP normalmente allegati alle email fraudolente, oltre al finto .PDF con estensione .EXE o .JS o ai files con estensione .XLSXM (o .XLSM) e .DOCXM (o .DOCM), si può trovare un file con estensione .WSF (Windows Script File).

Aggiornamento al 12 marzo 2016

Le novità di questa settimana sul fronte dei virus del riscatto (Cryptolocker e similari) sono inquietanti. Alle varianti classiche, si aggiungono 2 nuove forme di inoculazione.

La prima riguarda i computer Apple. Una variante del Cryptolocker riesce ad inocularsi in un sistema Mac attraverso un Trojan che entra nel computer attraverso una pagina internet infetta. Una volta inoculato, il virus colpisce con modalità molto simili a quelle delle varianti Windows.

La seconda è estremamente allarmante, e riguarda la possibilità del virus di essere inoculato in un computer Windows sfruttando le vulnerabilità del Desktop remoto, una funzione dei sistemi operativi Windows di essere gestiti a distanza. Se per errore o per incuria si lascia parta sul server una connessione di Desktop remoto non sicura (ovvero non protetta da password sicura), la stessa connessione viene violata, ed utilizzata per inoculare il virus, che crittografa tutti i dati sul server.

Aggiornamento all' 1 marzo 2016

Il virus del riscatto continua a diffondersi incessantemente. Le nuove varianti riescono ad infettare i computer attraverso la navigazione internet. Quindi non più solamente attraverso l'apertura di allegati di messaggi di posta elettronica. Raccomando la massima attenzione: tutte le persone che sono state infettate stavano navigando alla ricerca di partite in streaming, di film e di canzoni. Inoltre, segnalo l'arrivo di una nuova ondata che colpisce i telefonini, sia Iphone che Android.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilità di recupero.

Aggiornamento al 15 febbraio 2016

Continua l'offensiva dei virus del riscatto. Nuove varianti si aggiungono ogni settimana, Il dato allarmante, oltre alla sua crescente diffusione, è l'innalzamento della richiesta economica. Al danno si aggiunge quindi la beffa. Nelle nuove varianti la richiesta di riscatto parte da 2 Bitcoin (circa 700 €).

Avviso inoltre che esiste una soluzione a versioni precedenti del virus. Mi riferisco alle versioni che aggiungono una delle seguenti estensioni ai file crittografati: ".ecc”, “.exx”,” .ezz”, “.vvv”, “.xxx”, “.aaa”, “.fff”, “.xyz”, “.abc”, “.ttt”, “.xyz”, “.ccc”.

Se i vostri files sono stati crittografati non cancellateli formattando il computer: in molti casi il recupero è possibile nell'immediato. Altrimenti, potrete sempre attendere che in futuro si renda disponibile un sistema di decrittografia in grado di ridarvi i files bloccati.

Aggiornamento al 2 febbraio 2016

L'ultima variante di questa famiglia di virus aggiunge ai files crittografati l'estensione .micro.

In caso di infezione di questa o delle altre varianti del virus, spegnete immediatamente il computer e rivolgetevi al vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili.

Non chiamatemi nei seguenti casi:

il vostro computer è equipaggiato con Windows XP;
è già intervenuto un "amico" o un "tecnico" ( troppe volte ho constatato che i maggiori danni non li ha fatti il virus).

Aggiornamento al 25 gennaio 2015

L'infezione da virus della famiglia Cryptolocker o CTB-Locker si attiva aprendo un allegato proveniente da una email fraudolenta che può avere come mittente Equitalia, Telecom, Acea, o, più semplicemente, un parente, un amico o un perfetto sconosciuto.

Se a seguito dell'apertura di un allegato proveniente da una simile email vi accorgete che il computer rallenta e le icone dei file diventano tutte bianche, non perdete tempo: spegnete immediatamente il computer isolandolo dalla rete.

Se si agisce con prontezza ci sono maggiori possibilità di recuperare i files danneggiati.

Non attaccate assolutamente ad un PC infetto Hard Disk o pennette di memoria USB perchè verrebbero anch'esse danneggiate in brevissimo tempo.

Se il computer è in una rete, isolatelo immediatamente, per evitare che il virus danneggi files in cartelle condivise.

In caso di infezione, spegnete immediatamente il computer e rivolgetevi al vostro tecnico di fiducia. Se non lo avete contattatemi al 3357874178, saprò darvi indicazioni utili.

Il sito http://tmc2ybfqzgkaeilm.onion, è tornato in funzione.

Aggiornamento al 24 gennaio 2015

Devo segnalare, mio malgrado, che dalla mattina di martedì 19 gennaio il sito http://tmc2ybfqzgkaeilm.onion, che viene indicato a seguito dell'infezione che si propaga attraverso l'apertura di una falsa fattura proveniente da una email di Telecom, risulta oscurato, come del resto altri siti indicati a seguito di infezioni della famiglia CTB-Locker e Cryptolocker. Tali siti sono utilizzati per quantificare il riscatto richiesto dagli autori dell'estorsione e per procedere, eventualmente, con il pagamento. Il motivo dell'oscuramento non mi è ancora noto, le possibilità sono due: o i siti sono stati oscurati a seguito dell'intervento di qualche autorità giudiziaria, o gli autori del riscatto hanno preferito eliminarli perchè si sentivano braccati.

In ogni caso, essendo tali siti irraggiungibili, è impossibile procedere con il pagamento del riscatto, ed è quindi impossibile ottenere la chiave di decrittografia per recuperare i files infetti.

L'unica possibilità rimane quella, quindi, di percorrere altre strade, affidandosi ad un esperto che sappia dove mettere le mani.

La tempestività gioca un ruolo fondamentale: prima si interviene e più possibilità ci sono per risolvere il problema. Se il vostro computer ha contratto il virus Cryptolocker spegnetelo immediatamente isolandolo dalla rete.

Se non avete un tecnico di fiducia potete contattarmi al 3357874178.

Aggiornamento al 20 gennaio 2015

Da 3 mesi lavoro incessantemente sulle infezioni provocate da virus della famiglia Ransomware (riscatto) come Cryptolocker, CTB-Locker e similari. Ad oggi, su tanti casi analizzati, ho una casistica di successo nel ripristino di computer sui quali sono intervenuto nel giorno dell'infezione del 60%. La percentuale cala drasticamente quando intervengo su computer infetti da più giorni. Questo dato è indicativo di quanto sia importante la tempestività e di quanto sia importante spegnere immediatamente il computer quando ci si accorge di essere stati infettati (soprattutto se il computer fa pare di una rete).

Se siete stati infettati dal Virus del Riscatto, e non avete un vostro tecnico di fiducia, contattatemi immediatamente al 335787417 (NON RISPONDO A WHATSUP), ma prima sappiate che:

Nessun tipo di recupero è possibile su sistemi dotati di Windows XP.

Un mio intervento di rimozione del virus e di tentativo di recuperare i files infetti dura mediamente 1 ora abbondante. Per questo non posso permettermi di operare gratis (alcune persone si sono offese quando ho parlato di soldi: se conoscete un salumiere che regala prosciutto datemi l'indirizzo...)

Premessa (questo articolo si riferisce ad una versione di un anno fa, che differisce da versioni più recenti)

CTB-Locker è un malware che sta colpendo centinaia di utenti in Italia. Si tratta di un ransomware (ransom in inglese significa riscatto), ovvero di un tipo di programma fraudolento il cui scopo è quello di "rapire" i file contenuti in un computer rendendoli illeggibili e di chiedere il pagamento di un "riscatto" per renderli nuovamente utilizzabili. Il Virus è nascosto in un allegato contenuto in un'email ricevuta. Se si apre l'allegato, il Virus si attiva.

L'email può avere contenuti diversi, accomunati però da un'esca comune: quella di un rimborso in tuo favore. Il mittente avvisa, in un italiano senza particolari errori grammaticali, che è stato effettuato in tuo favore un rimborso a seguito della restituzione di beni da te acquistati.

Ecco un esempio di mail fraudolenta da me ricevuta il 28 gennaio:

La mail termina con la richiesta di aprire il file allegato per maggiori informazioni.

Il file allegato contiene un codice maligno che attiva il CTB-Locker.

Funzionamento di CTB-Locker

CTB-Locker si attiva quando viene aperto l'allegato. Il programma agisce su praticamente tutti i files contenenti documenti (ne cito solo alcuni: fotografie, files testo di Word, fogli elettronici di Excel, presentazioni di Power Point, disegni di Autocad, archivi compressi in formato zip, ecc.), crittografandoli e rendendoli inutilizzabili. Non blocca alcuna funzione del sistema operativo.

I files vengono crittografati utilizzando una chiave unica per ciascun computer infetto, e resi illeggibili ed irrecuperabili.

Contestualmente, CTB-Locker si manifesta attraverso una schermata simile a quella sottostante:

La schermata si riferisce ad una vecchia versione del malware, Cryptolocker, attiva già nel 2013, molto simile a quella attuale. Il testo è spietato, eccone la traduzione.

"I tuoi files importanti sono stati crittografati: foto, video, documenti, ecc. Qui puoi verificare personalmente l'elenco dei files criptati.
Il processo di crittografia è stato effettuato utilizzando una chiave unica generata per questo computer. Per eliminare la crittografia dei files devi acquistare una chiave privata.
La copia univoca di questa chiave, che ti permette di decrittografare i tuoi files, è disponibile in un server segreto su Internet; tale server distruggerà la chiave trascorso il tempo specificato nella finestra. Distrutta la chiave, nessuno mai sarà in grado di recuperare i files...
Per ottenere la chiave privata per questo computer, che ripristinerà i files crittografati alla loro condizione normale, devi pagare 300$ / 300€ o un importo simile in altra valuta.
Premi il pulsante Next per scegliere il metodo di pagamento.
Ogni tentativo di rimuovere o danneggiare questo software porterà all'immediata distruzione della chiave privata sul server".

Cliccando sul pulsante Next si accede ad una schermata dove si decide con quale valuta pagare. Oltre a Dollari ed Euro, vengono anche accettati i Bitcoins, una moneta virtuale che comincia a prendere piede su Internet.

CTB-Locker può crittografare files dell'hard disk interno al computer infetto, e può colpire anche files presenti in condivisioni di rete ed in unità esterne quali hard disk e pennette USB.

Perchè CTB-Locker è diverso da altri malware

La novità di questo malware è legata alla chiave univoca di crittografia utilizzata per rendere illeggibili i files. Essendo la chiave univoca, è praticamente impossibile ricostruirla, ed è altamente improbabile riuscire a ripristinare i files.

Inoltre, se l'utente elimina il virus dal computer (con un anti virus o un anti malware), non ripristina i files danneggiati, ma perde per sempre la possibilità di recuperarli, in quanto la chiave privata di decrittografia viene rimossa dal server segreto. Un eventuale rimozione di CTB-Locker elimina esclusivamente la richiesta di pagamento. Non ripristina in alcun modo i files.

Per riavere i files bisogna per forza pagare. Ma qui si apre un problema, oltre che personale, morale.

Pagare o no? Un problema morale

Sottostare al ricatto, all'estorsione, ci rende complici di un meccanismo perverso. Non si sa chi ci sia dietro a questa iniziativa spregevole. Potrebbe trattarsi di trafficanti di armi, di terroristi, di affiliati a bande criminali. Finanziare queste persone le aiuta ad attuare i loro piani criminosi, ed è pertanto una questione morale, quella legata all'eventuale pagamento.

Molti penseranno: senza i miei files blocco la mia attività, devo per forza pagare. Ed è questo il nocciolo della questione: dobbiamo capire che essere colpiti da un simile evento non è una casualità, ma è frutto della nostra incoscienza e del nostro rifiuto di spendere tempo, soldi ed energie per tutelare i nostri dati.

Cadere nel tranello di CTB-Locker è il risultato di un atteggiamento sbagliato che abbiamo di fronte ai rischi legati all'uso dell'informatica.

Conoscere per prevenire

Quello che sto per scrivere non è frutto della mia volontà di offendere nessuno. La gravità dei danni provocati da CTB-Locker mi spinge però ad essere chiaro, a costo di risultare antipatico.

Senza conoscenza non esiste la prevenzione. Un computer non è un semplice strumento di lavoro o di svago. Internet non è l'Eden. La posta elettronica non è riservata e sicura. Usare un computer senza antivirus (o con un antivirus non aggiornato) equivale a fare sesso con una prostituta senza precauzioni.

Dobbiamo cambiare il nostro modo di pensare.

Nello specifico dobbiamo considerare che:

Un computer è uno strumento complesso che necessita di cure, aggiornamenti e protezione; E, perchè no, di studio. Se non si comprende il funzionamento di una macchina non la si può utilizzare con cognizione.
Internet è un enorme raccoglitore di informazioni, non di cultura. Wikipedia non è la Bibbia, ma un posto dove tutti possono pubblicare contenuti, che spesso non sono validati e certificati da fonti sicure. I siti web sono spesso privi di manutenzione ed infetti. Oltre il 90% dei programmi scaricati da Internet sono dannosi. Internet è direttamente connesso al nostro computer...
La posta elettronica è uno strumento fenomenale che rende possibile la comunicazione tra esseri umani in modo veloce e spesso gratuito. Proprio per questo è lo strumento preferito dai malintenzionati che vogliono rubare i nostri dati personali o che vogliono infettare i nostri computer per utilizzarli a loro vantaggio. Dobbiamo allora comprendere che i messaggi che arrivano nella nostra casella postale non sempre sono validi, ma spesso, troppo spesso, contengono minacce di vario tipo. Per questo, dobbiamo sempre stare all'erta ed utilizzare il cervello prima di aprire qualsiasi messaggio, anche se proveniente da un mittente noto.
Un antivirus di qualità ed aggiornato è la base di partenza per tutelare i dati presenti sul computer. Un antivirus gratuito garantisce una protezione di base. Un antivirus a pagamento permette una protezione maggiore. Un antimalware abbinato ad un antivirus aumenta il livello di protezione. Gratis non significa migliore. Significa che risparmi nell'immediato, ma se utilizzi un computer da 400€ e non puoi permetterti la spesa per un antivirus torna al pallottoliere, alla penna ed al calamaio.

Troppo spesso sono contattato da persone che si rivolgono a me per risolvere problemi legati ad un uso incosciente del computer. E troppo spesso provo dentro di me frustrazione e rabbia. E sia chiaro, lo dico contro il mio interesse, che è quello di riparare computer e di ripristinarli alla piena funzionalità. Ma sono stanco di lottare contro l'incoscienza delle persone. Se nel computer hai dati di lavoro o l'archivio delle tue foto, devi applicarti con intelligenza e cognizione a tutelarli, mettendo in atto una serie di accorgimenti che aumentino la tua sicurezza. E devi tenere bene in mente che un computer infetto rallenta e ti fa perdere tempo, perchè il malware che vi è annidato sfrutta alcune (o molte) risorse per attuare piani criminosi.

CTB-Locker prende in ostaggio i tuoi files e li rende irrecuperabili se non sottostai ad un'estorsione. Altri malware rubano le tue password, altri ancora utilizzano il tuo computer per mandare spamming, altri lo sfruttano per bombardarti di pubblicità. Quale che sia il danno causato dal malware, se non fai nulla per evitarlo diventi complice di attività fraudolente e spesso criminose.

Vediamo allora, ancora una volta, come fare per tutelarci in caso di ricezione di una email fraudolenta.

Come leggere la posta elettronica

All'arrivo di un messaggio di posta elettronica, soprattutto se contiene allegati, dobbiamo effettuare una serie di controlli. Se pensi che questo rallenti il tuo lavoro chiudi pure questa pagina e continua a fare il tuo lavoro. Altrimenti leggi con attenzione. Quello che sto per dire si applica a tutte le email fraudolente, non solo alle email relative a CTB-Locker.

I controlli devono essere sempre gli stessi, e richiedono un livello di attenzione alto. Basta un momento di distrazione per cadere nel tranello. Quindi se sei stanco, svogliato, distratto, gioca a Tetris e rimanda la lettura dei messaggi di posta a dopo....

Personalmente utilizzo una metodologia che prevede una serie di controlli. Nello specifico:

Verifico che il mittente sia conosciuto o meno. Non controllo solo il nome, ma anche l'intero indirizzo di posta elettronica. Nel caso dell'email di CTB-Locker pubblicata ad inizio articolo, Cinzia Mascitti non mi mette in allarme, ma il suo indirizzo si, perchè difficilmente viene in mente a qualche azienda di creare un account di posta con nome necessità. Semmai info, contact, direzione, ufficiomarketing hanno più senso. In molti altri casi di spamming o email fraudolente l'indirizzo email può essere invece quello di un nostro contatto, che può essere stato trafugato dalla rubrica di qualche conoscente.
Leggo bene l'oggetto del messaggio: nel caso dell'email di CTB-Locker, l'oggetto contiene una parola sbagliata (priva di accento finale): necessita BE4391434AB381A0, La seconda parte è un codice che potrebbe effettivamente essere valido, ma cosa significa necessita? L'allerta cresce. Un oggetto accurato è difficilmente riscontrabile in un'email di spamming.
Ora esamino il messaggio del testo. L'italiano sembra corretto, e questo mi tranquillizza. Mi si ringrazia per l'ordine effettuato e per la restituzione dei prodotti. E qui devo fare uno sforzo. Ho effettuato un ordine? Quando? Con quale fornitore? Ho poi restituito qualcosa? Leggendo il testo, trovo anche l'importo del rimborso. €7851,17. Una bella somma. Ed ecco che i freni inibitori vanno in tilt, perchè subentra una componente emotiva che è un misto di meraviglia, piacere e curiosità. Condita da un'immensa dose di stupidità. Quanto impiega il cervello di una persona intelligente per capire che non ha mai speso una cifra simile? Quanto impiega per capire che nessuno regala soldi? Quanto impiega per capire che la richiesta di aprire un allegato per avere maggiori informazioni è una trappola? Una frazione di secondo. Purtroppo però molte persone non sanno tenere a bada le emozioni, e si avventano sull'allegato sperando di trovare conferma a quel piacevolissimo brivido che ormai scorre lungo tutta la schiena. Vuoi vedere che oggi mi porto a casa 7851,17 € senza fare fatica? Lo stesso vale per email non legate direttamente a CTB-Locker. Ad esempio, molte mail chiedono di confermare i dati della carta di credito cliccando su un link ed eseguendo il login. Nessun gestore di carte di credito inserirà mai un link in un eventuale messaggio simile. Ti dirà, semmai, che devi entrare nel portale (tu sai quale) e cambiare la login. Non inserirà mai un collegamento...
Siamo arrivati all'allegato. E qui il problema è duplice. Pochi, avendo studiato informatica, sanno che un qualsiasi file presente nel computer è nominato attraverso due parti separate da un punto: nome ed estensione. L'estensione identifica il tipo di file: .DOC identifica un file di Word, .PDF un file Acrobat, .XLS un file Excel, .JPG un'immagine, .AVI un filmato, e così via. Ancor meno persone sanno che alcune estensioni, come .EXE, .COM, .CAB, .JS, identificano programmi, e che aprendo files con simili estensioni attivano il programma, Per finire, pochissimi sanno che Windows per default nasconde le estensioni più comuni dei files. Quindi se nomino un file PIPPO.PDF.EXE e lo invio ad un utente, questi vede il file come PIPPO.PDF e, ritenendolo un file di Acrobat, lo apre serenamente. Innescando il virus.
Per aumentare la sicurezza del sistema, ti consiglio di attivare la visualizzazione delle estensioni (vedi il paragrafo successivo per le istruzioni).
Devi comunque arrivare a questo punto con cognizione di causa. Prima di aprire l'allegato poniti di fronte alla necessità dello stesso, e se hai dubbi sulla sua utilità, telefona al mittente, se noto, altrimenti cestina l'allegato. Se hai esagerato con le precauzioni ed hai cancellato un allegato importante, lo saprai nel giro di pochi giorni, perchè ti chiamerà qualcuno e ti chiederà se lo hai visionato o meno. Chiedendo di rimandarlo, non farai brutta figura, darai al limite del disturbo. Molto inferiore a quello che un malware potrebbe arrecare a te.

Come visualizzare le estensioni dei files in Windows

Abbiamo accennato al fatto che Windows, per impostazione predefinita, non visualizza le estensioni dei file più conosciuti.

Vediamo come fare per visualizzarle, per aumentare la nostra sicurezza e poter riconoscere in anticipo eventuali allegati sospetti. Questa procedura si applica a Windows 7 ed 8, ed è molto simile per Windows Vista ed XP.

Apri Esplora risorse (dall'icona Computer sul desktop o da Start-Computer o ancora premendo insieme i tasti Windows + e).

Si aprirà Esplora risorse.

Per poter rendere permanente la modifica che stiamo per fare, apri il disco C: facendo doppio click su di esso. Ti verranno mostrate le cartelle ed i files del disco C:

Clicca sul pulsante Organizza in alto a sinistra. Nel menu a tendina che si aprirà clicca sulla voce Opzioni cartella e ricerca:

Si aprirà un menu come quello sottostante:

Clicca ora sul pannello Visualizzazione in alto al centro. Si aprirà il pannello con le opzioni:

Nel riquadro Impostazioni avanzate scorri verso il basso fino a trovare la riga Nascondi le estensioni per i tipi di file conosciuti. Togli il segno di spunta a sinistra della riga e clicca il pulsante Applica alle cartelle.

Apparirà una richiesta di conferma:

Clicca sul pulsante Si, poi sul pulsante OK. A questo punto puoi chiudere Esplora risorse.

Da adesso in poi, quando visualizzerai una qualsiasi cartella, vedrai i files visualizzato con il nome e l'estensione, separati da un punto.

Attenzione particolare va prestata, da adesso in poi, quando devi rinominare un file. Con la visualizzazione dell'estensione disattivata, ogni volta che rinominavi un file agivi solamente sul nome, lasciando invariata l'estensione. Con la visualizzazione dell'estensione attivata, se rinomini un file puoi cambiarne anche l'estensione, rischiando di cambiarne l'associazione ad un programma. L'esempio è presto fatto: se rinomini un file Word che si chiama TESTO.DOC in PLUTO.DOC non avrai problemi nell'apertura. Se, invece, rinomini TEST.DOC in PLUTO.PDF, il file verrà associato ad Acrobat Reader e non verrà aperto correttamente, essendo un file Word. In caso di erronea modifica dell'estensione, Esplora risorse ti avvertirà con un messaggio di questo tipo:

In casi simili, clicca sul pulsante No e ripeti la procedura di rinominazione stando attento a non modificare l'estensione.

Per una pulizia mentale, evita di usare punti o virgole nel nome del file. Al limite utilizza il trattino -.

Ora che hai modificato le impostazioni di visualizzazione di files e cartelle, avrai maggiori possibilità di identificare un allegato nocivo. Se la sua estensione è .EXE, .COM, .CMD, .JS, .CAB sei quasi sicuro che possa trattarsi di malware.

Considerazioni finali

Quanto fin detto finora è inutile se non parti da una configurazione di base del tuo computer sicura. Questa configurazione deve prevedere sempre:

Un antivirus possibilmente acquistato e sempre aggiornato.
Un software antimalware possibilmente acquistato e sempre aggiornato.
Il firewall di Windows sempre attivato.
La sicurezza che sul computer non siano installati programmi inutili e nocivi, come le toolbar o le estensioni per i browser Internet (Ask Toolbar e similari).
L'esistenza di una copia di backup dei dati su un supporto normalmente disconnesso come un hard disk esterno o una pennetta USB. Tale supporto deve essere connesso al computer per il tempo strettamente necessario alla creazione o all'aggiornamento del backup.
Se utilizzi un sistema di Cloud come Dropbox, tieni bene in mente che se i tuoi files vengono crittografati da un malware, vengono poi sincronizzati con il Cloud. Se ti compare quindi una richiesta di riscatto simile a quella di CTB-Locker disconnetti immediatamente il computer da Internet, per tutelare i files sul server cloud.
Un atteggiamento consapevole nell'utilizzo del computer, che presti la dovuta attenzione alle operazioni effettuate, che eviti distrazioni durante l'utilizzo dell'email e che non porti l'utente a scaricare programmi da Internet senza averne controllato attentamente la fonte.

Non mi stancherò mai di dirlo: i dati sul computer sono i tuoi. Proteggili. Sempre.

Addendum

Si trovano, in rete, alcuni articoli che sostengono che i file crittografati possono essere recuperati grazie ad un sito internet che permette, gratuitamente, di ricevere la password privata di sblocco. Il sito in questione è www.decryptcryptolocker.com.

Attenzione. Il sito fa riferimento alla vecchia versione di CTB-Locker, Cryptolocker, e non funziona sempre. Essendo la crittografia del malware basata su chiavi personali (diverse per ciascun computer), è molto remota la possibilità di recuperare i files danneggiati senza pagare. Consiglio comunque, a chi ha subito la crittografia, di non cancellare i files, nella speranza che in futuro vengano scoperti degli algoritmi di decrittografia.

Dubitate inoltre sempre di programmi che millantano la soluzione al problema. Spesso sono essi stessi del malware.

La stesura di questo articolo ha richiesto molto tempo. Se lo hai trovato utile e vuoi cliccare su Mi piace o Condividi mi farai cosa gradita. Grazie.

Tel: 06.86.89.61.31 - 335.78.74.178