Cryptolocker, il virus che ricatta gli utenti di internet

Ieri sera, su canale 5 e precisamente nella trasmissione Striscia la Notizia, Moreno Morello ha parlato di un problema informatico che negli ultimi tempi ha colpito diversi soggetti: pubblici e privati. Grazie a dei consulenti, Moreno Morello ha deciso di svelarci come funziona questa truffa.

La truffa parte da una mail che contiene un messaggio generico del tipo: “ciao consigliere, è necessario pagare il debito” ed un link a corredo della mail o, in altri casi, un file zip in allegato

Se si clicca su questo collegamento o si apre il file(a seconda dei casi) i danni per il computer sono quasi devastanti. Tutti i file del computer diventano inutilizzabili e dopo pochi minuti, aprendo il browser compare un messaggio con una vera e propria richiesta di riscatto:

Attenzione, abbiamo criptato i vostri file con il virus Cryptoloker

Cerchiamo di capire di cosa si tratta più nello specifico

cryptolocker

Funzionamento

Al primo avvio, il software si installa nella cartella Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, rilocandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Anche se viene rimosso

Anche se CryptoLocker venisse rimosso subito, i file rimangono cifrati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l’invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l’utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ai primi di novembre 2013 valgono circa 3500 USD)

Precauzioni

Prima di tutto diffidate sempre da questo tipo di email. Non aprite tutto ciò che vi viene inviato senza fare un’attenta lettura. Poi conviene fare sempre un backup dei vostri dati.

Attenzione che qualcuno diventa miliardario a vostro discapito!

Eccovi il servizio completo di striscia la notizia




Reply