Facebook AB Z Soluzioni Informatiche s.r.l. Linkedin AB Z Soluzioni Informatiche s.r.l.

Attenzione: nuovo Virus

Attenzione: nuova tipologia di Virus ad alta pericolosità

virusVogliamo comunicarvi la presenza di un nuovo virus che si diffonde principalmente tramite posta elettronica.

Il virus in questione è in grado di criptare tutti i documenti presenti sul pc (file di office, software gestionali, immagini, video, ecc) rendendoli inutilizzabili.

Vi verrà richiesto quindi dal virus il versamento di una quota in dollari per poter riavere i vostri dati decriptati allo stato originario.

Vi invitiamo per tanto a porre attenzione all'apertura di file ZIP o PDF ricevuti tramite mail da mittenti sconosciuti o poco affidabili.
Vi suggeriamo inoltre di eseguire un accurato controllo sul corretto funzionamento dei vostri sistemi di backup e del vostro antivirus.

Per qualsiasi esigenza non esitate a contattarci.


Maggiori informazioni

CryptoLocker è un cavallo di troia comparso nel tardo 2013. Esso è una forma di Ransomware infettante sistemi Windows, consiste nel criptare i dati della vittima e richiedere un pagamento per la decrittazione. Symantech stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l'attaccante ma di non aver visto i propri file decifrati.

Come funziona

CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i rencenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malaware possono invece contenere il Trojan Zeus, che a turno, installa CryptoLocker.

Al primo avvio, il software si installa nella cartella "Documents and settings" con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, rilocandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di 300 dollari o euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.

Conseguenze

Anche se CryptoLocker venisse rimosso subito, i file rimangono cifrati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l'unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l'invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l'utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ai primi di novembre 2013 valgono circa 3500 USD)

Mitigazione del danno

Nonostante le suite di sicurezza sono progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus viene distribuita. Se un attacco è sospettato o è ai primi stadi, poiché è necessario un po' di tempo perché sia completata la cifratura, la rimozione immediata del malaware (un procedimento relativamente semplice) prima del completamento della cifratura può significativamente ridurre la perdita di dati. Gli esperti consigliano di prendere misure preventive come usare programmi o politiche di sicurezza che impediscano che Cryprolocker sia lanciato.

A causa della natura delle operazioni di CryptoLocker, alcuni esperti, riluttantemente, suggeriscono che pagare sia l'unico modo per riavere i file in assenza di backup (particolarmente backup offline inaccessibili da rete, o con la protezione continua dei dati di Windows 'windows shadow copy'. A causa della lunghezza della chiave utilizzata, si considera praticamente inviolabile con un attacco a forza bruta per ottenere la chiave richiesta per la decifratura dei file senza pagare. Il worm simile del 2008 Gpcode.AK usava una chiave a 1024 bit considerata abastanza grande da essere computazionalemente indistruttibile senza uno sforzo distribuito e organizzato, o la scoperta di un 'flaw' utilizzabile per decifrate. Nel tardo ottobre 2013 Kaspersky Labs hanno riportato che un DNS Sinkhole è stato creato per bloccare alcuni dei domini di CryptoLocker.

Fonte: Wikipedia

Assistenza remota - AB Z Soluzioni Informatiche

Download brochure

Questo sito utilizza cookie propri e di altri siti. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui.