Cryptolocker : riscatto informatico …
foto credit : succo
Che tristezza, ad un mio amico strettissimo nonche’ collaboratore in azienda e’ successa una cosa tremenda : e’ stato vittima di un ransomware un crimine informatico bell’e’ buono.
In pratica e’ stato violato il suo server domestico pieno zeppo di fotografie e filmati di parenti, amici, momenti di vita e tanti, tanti bellissimi paesaggi essendo un appassionato di fotografia …
Andiamo per ordine
Il mio collega la mattina accede al proprio server e si ritrova con un documento sul desktop che lo invita a contattare via email colui che gli ha criptato tutti i files.
Stupefatto ha prima cercato di aprire i files tutti con estensione .CRYPTOLOCKER, poi provato a cambiare estensione ma vedendo che non si aprivano ha iniziato a cercare in rete per scoprire che il solo sistema per decriptare i suoi files e’ avere la seconda parte della chiave di criptazione che pero’ e’ in mano ai malviventi.
**** HOW TO DECRYPT FILES.TXT ****
If you’re seeing this file, then ALL your files have been BLOCKED with the most strongest CIPHER.
All your data – documents, photos, videos and backups – everything in BLOCKED.
The only way to recover your files – contact us via supercrypt@mailxx9.com
Only WE have program that can completely recover your FILES.
Attach to e-mail:
1. Text-file with your code (“HOW TO DECRYPT FILES.txt”)
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you OUR CONDITIONS and your decrypted file as proof that we actually have decrypter.
Remember:
1. The faster you’ll CONTACT US – the faster you will RECOVER YOUR files.
2. We will ignore your e-mails without attached code from your “HOW TO DECRYPT FILES.txt”
3. If you haven’t received reply from us – try to contact us via public e-mail services such as Yahoo or so.
====================
5456E77B1044AA62B7756F9FB8B190C8ED4DCD9422C99C3E11C34D7FAD017D4C
3C6CA2D4FF854181DAA7C3457CC7A2BA9440F97D9EF8B8A2BD043A0E4DA7E83C
8327132A2E1166A9E34DBAAC315F52C8EAAF8A371FB89538CC90773B63A61A7A
FC73A1ED87A201AC616C2C7F2D633DF88AC64B1EEA1E41F0E30FC6F5A143950F
1B424441544352434841456D3FB6CF852F7F84D4E4ACA1E6D41E911FA934F28E
====================
**** HOW TO DECRYPT FILES.TXT ****
Insomma, preso dalla disperazione segue le indicazioni del documento .txt lasciato sullo schermo e nel giro di poche ore scopre che se rivuole indietro i propri files non deve fare altro che pagare mediante alcuni sistemi la bellezza di € 300,00.
Siamo stati quasi una giornata a cercare in rete soluzioni al problema : non ce ne sono ! Tutto cio’ che abbiamo trovato porta al pagamento del riscatto per riavere i dati …
Da quanto abbiamo potuto vedere vengono sfruttati buchi di sistema, in particolare chi ha pubblicato servizi RDP con macchine Windows (nel suo caso Windows 2003) e’ particolarmente vulnerabile. Non dimentichiamoci pero’ che eventuali banner pubblicitari possono attivare codice malevolo, allegati di email provenienti da sconosciuti (e non solo) possono essere veicolo di questa cosa devastante.
Tutti i files presenti nel computer (per circa un centinaio di estensioni diverse) vengono criptati in un tempo relativamente breve con una doppia chiave pubblica / privata a 1024 bit. In pratica non avete modo di decriptare i files se non avete la chiave privata, non ci sono modi se non avendo super computer a lavorare per un tempo non ben definito (forse anni).
Attenzione
Qualsiasi files presente su qualsiasi disco in condivisione viene criptato pertanto se avete un computer in rete con altri 100 computer e server che condividono cartelle e files ed avete diritti di scrittura questi verranno criptati.
Se pensate che il backup sul NAS possa salvarvi siete in errore, il NAS viene visto nella rete per poterci scrivere il backup pertanto verra’ criptato. Se pensate che i dati su Dropbox, OneDrive, Google Drive e servizi analoghi siano al sicuro sbagliate perche’ il software di sincronizzazione appena vedra’ il vostro file locale cambiato aggiornera’ la controparte online.
Addirittura abbiamo letto che quando si viene attaccati vengono cancellate anche le copie shadow sulla macchina quindi impossibile tornare indietro attraverso esse.
Tutto questo e’ allarmante e devastante dal punto di vista della sicurezza dei dati in particolar modo in ambito aziendale …
Come proteggersi ?
Sinceramente non abbiamo trovato nulla di definitivo, non vi sono soluzioni, l’unico modo per decriptare i files e’ avere il software e la chiave privata.
Al mio collega dopo pagato il riscatto e’ stato mandato un software con le istruzioni per avviare la procedura (dobbiamo ammettere che nel tutto sono stati estremamente fermi, freddi e professionali) ed ha funzionato perfettamente.
Ecco comunque alcuni accorgimenti indispensabili per non stare proprio allo scoperto :
- Mantenere il sistema operativo e gli applicativi costantemente aggiornati attivando l’aggiornamento principalmente il sistema operativo.
- Attivare un firewall (software o hardware) limitando le porte aperte alle indispensabili e possibilmente cambiare il numero standard la dove possibile.
- Installare un buon antivirus e controllare costantemente che sia aggiornato.
- Non aprire allegati e link sospetti sul web
- Effettuare backup su dispositivi esterni staccati dal sistema / rete quando non utilizzati
Alcuni link interessanti
- Microsoft : What is ransomware?
- Your Locker of Information for CryptoLocker Decryption : inviando un un file a Decryptcryptolocker il sistema verifica se decriptabile e viene inviato un software per tale operazione. Purtroppo nel nostro caso abbiamo provato ma nulla di fatto !!!
Invito chiunque abbia informazioni che possano aiutare a prevenire o curare questa minaccia a contribuire all’articolo commentando in basso.
https://noransom.kaspersky.com/
https://support.drweb.com/new/free_unlocker/
Una “soluzione” sarebbe l’impostazione dei punti di ripristino (con dati) attraverso uno script e successivamente l’estrazione dei file con ShadowExplorer
Il problema si pone se il crypto abbattesse tutti i punti di ripristino disponibili
Altrimenti si potrebbero usare le copie shadow dei file
Per quanto riguarda i file in rete, si presuppone che il server (o nas) abbia un backup dei file condivisi pertanto il problema non e’ grosso quanto quello per i Personal Computer
Ho letto da qualche parte che il bastardello e’ in grado di cancellare le copie shadow quindi il problema rimane. Sicuramente una copia dislocata e’ la soluzione piu’ valida al momento. Io ho fatto test in laboratorio infettando volutamente due PC messi su una rete separata (avevo fatto la partizione di recupero in precedenza). Se manca internet NON succede nulla. Se vi sono password di rete e non sono salvate se un PC si infetta non va ad intaccare l’altro. Quindi, il mio pensiero e’ questo : avere un NAS in rete con cartella condivisa per il backup protetta da password. Al momento in cui si fa il backup si connette l’unita’ di rete si fa il backup e si scollega al termine. Per i server in bare metal sto’ usando iSCSI ma temo che non risolva il problema perche’ il disco viene visto come fisico sul server stesso anche se nascosto …
Si effettivamente le ultime release cancellano le copie shadow ed i punti di ripristino e si perde la possibilità di recupero file
Per quanto riguarda la faccenda che diceva lei, il crypto una volta avviato richiede al server una chiave con cui cifrare i file, se la connessione ad internet e’ assente, chiaramente i file non possono essere cifrati in quanto manca la chiave per farlo
Per quanto riguarda la sua idea non la comprendo pienamente…
Considerando che il crypto funziona solo sui percorsi al quale sono state assegnate delle lettere (altrimenti agirebbe anche sulle condivisioni nascoste e quindi sull’intero drive dei server) non capisco perche’ collegare un unità di rete, effettua il backup e poi la scollega.
Qualora impostassimo un programma di backup quale il Cobian o l’Uranium su un NAS delle cartelle che sono condivise, automaticamente si avrebbe il backup senza dover collegare o meno le unità di rete…
Medesima cosa se si vuole agire direttamente sui PC invece… Una volta impostato il Cobian dei percorsi principali, non avendo un unità di rete collegata non andrebbe ad infettare il backup…
Esatto, mi sono espresso male io ma il concetto e’ esattamente quello. Io ho fatto la stessa cosa con Iperius Backup. Comunque, per quanto riguarda il fatto di collegare e scollegare le cartelle di rete immagina una procedura di backup che usi robocopy per esempio in un batch schedulato e capisci cosa intendevo con il collega / backup / scollega :D
Si e’ vero anche l’altro punto, se manca internet non succede nulla …
Importante leggere !!!!
Arriva via email un file .cab che se cliccato crypta tutti i dati nel proprio hard disk ed in tutte le cartelle di rete raggiungibili
http://www.pentasoft.it/cms/index.php?option=com_acymailing&ctrl=archive&task=view&listid=1-mailing-list&mailid=32-attenzione-leggere-ransomware&tmpl=component
E’ successo oggi a 4 clienti con questo sistema via email …. devastante, non trovo soluzioni !!!?!?!?!?
http://www.digitalic.it/wp/mercato-2/sicurezza/ctb-locker-il-nuovo-virus-che-cripta-dati-e-chiede-il-riscatto/88082