Qualche accenno sui virus Ransomware

I virus ransomware sono tra i malware più temuti non solo per la loro enorme diffusione, ma per i danni che causano spesso in modo irreversibile. In soldoni, il virus cifra i file del nostro PC con un algoritmo di cifratura rendendone impossibile la loro apertura a meno che non si abbia la chiave per decifrare. Questa chiave viene “promessa” dallo stesso virus dopo aver pagato un riscatto che oscilla intorno ai 500 dollari.

 

Come si prendono i virus Ransomware

La quasi totalità dei virus, riesce a far breccia all’interno dei nostri computer per colpa di una nostra azione ovvero la prima esecuzione del virus. Spesso i virus ci arrivano per mail da un mittente che conosciamo (ma che ovviamente è sotto falso nome) e nel corpo della mail ci invitano all’azione: scaricare ed aprire una fattura, visualizzare un resoconto ecc. Aprendo questi file diamo vita al virus che comincerà a fare breccia all’interno del nostro PC. Di seguito alcune mail che contengono i virus Ransomware:

 

Cosa fanno i virus Ransomware

Una volta avviato il virus, esso effettuerà una cifratura dei file usando una crittografia RSA-2048 protetta con chiave privata. Superare l’ostacolo di una crittografia non è affatto semplice anzi forse quasi impossibile. Pensiamo che tutto il sistema bancario mondiale, gli acquisti online, le carte di credito ecc vivono grazie ai più recenti sistemi di crittografia. Ci fosse un modo universale per superare questo espediente si avrebbe il controllo mondiale 🙂  Dopo aver cifrato i nostri file, il virus ci guiderà al loro recupero ovvero ci “insegnerà” a creare una connessione ad internet anonima e ad utilizzare il metodo di pagamento basato su BitCoin per riscattare i nostri file. Di seguito alcune varianti dei messaggi forniti dal virus:

 

Proteggersi dai virus Ransomware: BitCryptor, CryptoDefense,
 CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt

Protezione Culturale:

Per far fronte a molti virus ed avere un sistema quanto più immune possibile dai malwere è necessario:

  • Mantenere sempre aggiornato l’antivirus del nostro sistema
  • Mantenere sempre aggiornato il sistema operativo scaricando ed installando gli aggiornamenti consigliati.
  • Installare un firewall sia in entrata che in uscita ad ogni PC
  • Educarsi ad esaminare in modo accurato le mail che si ricevono imparando a distinguere quelle reali da quelle fraudolente.
  • Effettuare periodicamente copie di backup salvandole su supporti esterni.

 

 

Protezione con SandBox

Soprattutto in ottica aziendale, è fondamentale fare utilizzo di SandBox. Questa tecnologia apre i file che arrivano tramite mail in un ambiente virtualizzato denominato sandbox. In questo ambiente protetto i file vengono monitorati cercando di scovare comportamenti insoliti come tentativi di modifica del registro di sistema o connessioni anomale. In caso di rilevazione di comportamenti anomali, questi file vengono messi in quarantena senza che possano arrecare danni ad altri utenti della rete.

Protezione Pro Attiva

HitmanPro Alert

Per proteggersi dai Ransomware come BitCryptor,CryptoDefense,CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt,può rivelarsi un’ottima strategia installare un software come HitmanPro Alert che garantisce la navigazione sicura su internet verificando che i collegamenti con banche, shopping online ecc siano in connessione protetta. HitmanPro Alert rileva quindi modifiche ai browser o sul sistema introducendo inoltre la funzione CryptoGuard che non rileva i malware in base alla loro staticità ma in base al comportamento attivo.

Cryptoprevent

Un altro software di protezione degno di nota è Cryptoprevent  che impedisce ai virus di modificare zone sensibili di Windows come le chiavi di registro.

 

Come rimuovere i virus  Ransomware BitCryptor, CoinVault,
 CryptoDefense,CryptoLocker, Cryptorbit,
CryptoWall, CTB-Locker, Locker, PClock,
 TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder,
 Randamant

La prima cosa da fare è sicuramente scollegare il PC da internet e tentare quindi connessioni con Kaspersky Virus Removal Tool, poi RKill e, in seguito , con Combofix. In caso non avessimo accesso al PC o peggio ancora alla modalità provvisoria, sarà necessario eseguire i software in modalità Live ovvero eseguendoli da una penna USB eseguendo il boot della pennetta dal BIOS.

 

Come recuperare i file crittografati da Ransomware TeslaCrypt

Recupero di variante Ransomware TeslaCrypt 2.2.0 file con estensione: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv

  • Nella versione del virus sopra menzionata, vi è la possibilità di recuperare i file grazie ad una falla scoperta nel virus stesso che ha consentito la decodifica dei file.  La falla riscontrato consta nel fatto che il virus genera le chiavi di crittografia e decodifica  all’interno dei file cifrati usando numeri non primi rendendo quindi plausibile un attacco mirato anche con PC con potenza normale per gli standard attuali. Fattorizzando quindi i numeri primi è stato possibile ricostruire la chiave di decodifica. Questa operazione è però molto lenta. E’ quindi possibile utilizzare il software TeslaDecoder per recuperare i file cifrati da TeslaCrypt 2.2.0.
  • Altra soluzione è quella di fare riferimento a Dr. Web, società russa attiva nel contrasto ai malware
  • Come soluzione alternativa, è possibile ricorrere alle Shadow Copy di Windows. Questo sistema operativo ha introdotto questa funzione a partire da Windows XP SP1 che permette di effettuare copier di backup dei file in modo automatico. Per visualizzare le shadow copy è sufficiente lanciare il tool Shadow Copy Viewer cercando i file che ci interessano e di salvarli in una directory che preferiamo. In alcuni casi questa funzione non è utilizzabile in quanto i virus prima di ultimare il loro “lavoro” eseguono il comando ‘vssadmin delete shadows /all‘ che elimina tutte le shadow copy

 

Recupero di variante Ransomware TeslaCrypt 3 file con estensione: .XXX, .TTT e .MICRO.

Questa versione di virus Ransomware è stata rilasciata il 31 Gennaio 2016 correggendo le falle trovate nella precedente versione. Per tale motivo non si conoscono attualmente metodi di decodifica dei file che sono attualmente da considerare persi.

 

Glossario su Varianti Ransomware

BitCryptor, CoinVault, CryptoDefense,CryptoLocker, Cryptorbit, CryptoWall, CTB-Locker, Locker, PClock, TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder, Randamant

Hai bisogno di una consulenza o assistenza?
Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla 😉

Questo articolo ha un commento

Lascia un commento