Riporto da una news del 01 02 2015 di HostingTalk.it:
Una nuova minaccia sta intaccando la sicurezza dei PC e dei dispositivi mobile
di mezzo pianeta e, come spesso accade, la diffusione avviene via email, attraverso
un virus di tipo ransomware, nella variante Cryptolocker o CTB Locker (il virus
colpisce solo il sistema operativo Windows).
Che l’infenzione stia colpendo account di ogni entità è palese da quanto sta accadendo
alle caselle di posta dei comuni in provincia di Nuoro, letteralmente insidiate e tenute
d’ostaggio dal virus che si diffonde tramite allegato.
Anche qui in redazione, a un membro del nostro team è giunta l’email traditrice, che
si presenta in questo modo:
Per chi non sapesse cosa siano i ransomware, l’email riportata in figura ne è un tipico
esempio. Nella casella del malcapitato giunge una missiva elettronica di un corriere o di
un ente che promette un rimborso con un allegato che sembra una fattura, un ordine o un
ordine da saldare. Finchè il testo dell’email è giunto in inglese o in italiano poco corretto,
era facile individuare la truffa ed evitare l’apertura dell’allegato. Da due giorni circa, però, l
e email giungono agli utenti italiani in corretto stile grammaticale e diviene dunque complicato
distinguere la missiva di phishing da una reale.
L’utente, ingenuamente, apre l’allegato e in quel esatto momento inizia l’infenzione. Il virus
prende possesso dei file presenti sul PC dell’utente colpito (soprattutto file Word ed Excel) e
ne cripta il contenuto. L’utente non si accorge subito del misfatto, ma solo dopo qualche tempo,
quando tenta di aprire i file che sono stati crittografati con una chiave sconosciuta. All’apertura
dei file contagiati, compare questa schermata:
Si tratta di una richiesta di riscatto (il termine ransom, infatti, in inglese significa riscatto) con
cui gli hacker che hanno messo in piedi la truffa chiedono un pagamento (spesso in BitCoin, con
cifre che possono anche superare i 100 dollari) per rilasciare la chiave di decifratura e restituire
i file con il loro contenuto intatto ai leggitimi proprietari.
Come funzionano i virus ransomware, fra crittografia e riscatto
L’urgenza incussa nel messaggio fa pensare agli utenti che non vi sia altra via di fuga se non
cedere al ricatto e pagare il riscatto. Infatti, con il messaggio di infezione, gli hacker minacciano
che se il pagamento del riscatto richiesto non avviene entro un certo numero di ore, i file
rimarranno crittografati per sempre.
Con il pagamento, quindi, si dovrebbe ottenere la passphrase che permette di decrittografare
i file e i documenti presi d’ostaggio.
Come lo stesso blog di QBoxMail sottolinea, i file allegati da cui parte l’infenzione si presentano
per ora in formato CAB e hanno nomi simili ai seguenti:
fattura10BA111.cab
sollecitazione239C120.cab
domanda8603294.cab
bill48ED0CE.cab
charge6565840.cab
requisito54F90CE.cab
realizzazione62CB8D1.cab
mentre i file infetti vengono rinominati e l’estensione si modifica in CTBL o CTBL2, anche se i nuovi
metodi usano estensioni randomiche come .ftelhdd or .ztswgmc.
Quando l’algoritmo CTBL individua un file supportato lo crittografa con una tecnica di crittografia di
tipo eliptical curve.
Il successo di questa tipologia di infezione si basa su tre cardini:
l’ingenunità dell’utente che crede al contenuto dell’email e ne consulta l’allegato;
l’incapacità degli antivirus di riconoscere l’attuale variante del virus (Cryptlocker o CTB Locker)
l’effettiva incapacità di decrittografare i file codificati
.
Per chi è stato affetto dal problema, però, prima di procedere al pagamento del riscatto (che ricordiamo
non offre la sicurezza di ottenere la passphrase per la decrittografia) è possibile fare qualche tentativo
di ripristino del sistema.
Come tentare di combattere un virus ransomware
Per prima cosa, conviene rimuovere l’infezione virus, eliminando qualsiasi eseguibile dalla cartella dei
temporanei di sistema e ripulire il PC dai task nascosti presenti nel Task Manager. Dopo aver rimosso
l’infezione, bisogna procedere con il recupero dei file crittografati.
Qui si procedere con tre metodi differenti:
Contuna la lettura su HostingTalk.it
