Un attacco con il malware che cifra i nostri dati è in corso: ecco come si diffonde e come debellare l’infezione

Un attacco che  usa il malware Ransomware.CryptoLocker è attualmente in corso, a giudicare dalle numerose segnalazioni registrate da Trend Micro. Ransomware si riferisce ad una classe di malware che, una volta eseguiti, hanno la capacità di infettare qualsiasi sistema Windows criptando tutti i dati presenti sul disco rigido. La chiave di decrittazione è fornita dai cyber-criminali solo al pagamento di un riscatto.

Come si diffonde?
Ransomware.CryptoLocker di solito si diffonde tramite un allegato di posta elettronica, con approcci di social engineering. Di solito il malware proviene da fonti legittime oppure da un botnet e si camuffa, presentandosi come un allegato ZIP che di solito contiene un file eseguibile. Tale file, però, appare come un comune documento pdf o doc, per esempio, avvalendosi del fatto che i sistemi Windows non mostrano di default le estensioni dei file.

Quando viene eseguito per la prima volta, il software s’installa nella cartella Documents and Settings (o Users, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro, che lo mette poi in avvio automatico. Il malware tenta poi di connettersi a uno dei server di comando e controllo, che genera una chiave RSA a 2048 bit e la invia al computer infettato.

cryptolocker-ransomware-trend-micro

Parte quindi la cifratura dei file e delle condivisioni di rete mappate localmente, dopo la quale il malware e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: .doc, .odt, immagini ed altri documenti. La richiesta per lo sblocco, come detto, è un riscatto di 300 dollari da pagare entro 72 o 100 ore tramite voucher anonimo e prepagato, pena la distruzione della chiave e la perdita definitiva dei file.

Ecco alcuni dei nomi con cui Ransomware è conosciuto:
– Trojan: Win32/Crilock.A
– Trojan-Ransom.Win32.Blocker. cgmz
– TROJ_RANSOM
– TROJ_CRILOCK
– Cryptolocker
– Trojan-Ransom.Win32.Foreign. acc
– Trojan.Ransom.FH
– Trojan:Win32/Ransom.GT

Come difendersi?
La prevenzione è la miglior difesa: prestare attenzione agli allegati, anche da fonti conosciute, è il primo passo da ricordare, come filtrarli e bloccarli. Può però capitare che Ransomware.CryptoLocker non venga individuato, o magari venga scoperto solo dopo che la cifratura è iniziata o addirittura è stata completata. Bisogna quindi considerare queste minacce con un approccio olistico, essere consapevoli che ogni bisognerà considerare ogni strato coinvolto nella consegna delle e-mail. Dalle politiche di blocco degli allegati al gateway alle soluzioni anti-spam, dall’email reputation service al monitoraggio del comportamento.

Non appena si trova il pc infetto, che contiene file con estensione.encrypted, bisogna isolarlo dalla rete. Se i file su server NAS/SAN sono infetti, è infine necessario controllare l’ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati.