PDA

Visualizza versione completa : Security Virus Cryptolocker, la polizia postale lancia l'allarme



Asterix
12-12-14, 09: 24
In questi giorni si sta propagando velocemente il virus “Cryptolocker” che sta mettendo ko i computer e i server di molte aziende e privati.
A lanciare l'allarme è la Polizia Postale che sta indagando sul caso dopo le molte segnalazioni ricevute, legate anche a richieste di riscatto per liberare pc e server dal virus e accedere nuovamente ai file bloccati.
Il consiglio è di non aprire mail di dubbia provenienza, scritte in un italiano "stentato", o che fanno riferimento a servizi mai utilizzati. In particolare, attenzione alle mail che sembrano provenire da vari corrieri nazionali (SDA, DHL, ecc..) oppure da istituti finanziari (CartaSi, Bcc, ecc..) e che invitano a cliccare su un link (collegamento internet) o ad aprire allegati.
Se avete dubbi circa la bontà di una comunicazione, è meglio rivolgersi telefonicamente al mittente per accertare l'effettiva veridicità del messaggio.

Attenzione: in caso di infezione, i dati crittografati dal virus sono IRRECUPERABILI e andranno necessariamente RIPRISTINATI DALL'ULTIMO BACKUP. E' opportuno verificare che i software antivirus siano sempre aggiornati e che il livello di sicurezza informatica della postazione sia adeguato alle nuove minacce che arrivano da internet.

Kirk78
12-12-14, 09: 55
Vedasi anche http://www.collectiontricks.it/forum/security/Ct5954-attenzione-mail-truffa-finte-malware-dicembre-2014-a.html

In teoria se è veramente CryptoLocker pare che nel giugno 2014 ci sia stata un'operazione multi-nazionale che ha decretato la fine di questo virus, con quindi la possibilità anche di tentare di decriptare i Vostri dati gratuitamente tramite un tool di FireEye Inc. (https://www.fireeye.com/company.html) in associazione con Fox-IT scanner. Probabilmente dopo l'operazione hanno trovato come trovare la chiave AES per decifrare i file magari avendo a disposizione la chiave RSA privata corrispondente alla chiave pubblica RSA del PC infetto. In realtà penso che l'F.B.I. abbia dato loro accesso alle chiavi che hanno trovato dopo l'operazione e quindi le varianti successive, haimè, non possono essere decriptate.

Per informazioni aggiuntive sull'operazione leggere il comunicato stampa del dipartimento di giustizia U.S.A. U.S. Leads Multi-National Action Against ?Gameover Zeus? Botnet and ?Cryptolocker? Ransomware, Charges Botnet Administrator | OPA | Department of Justice (http://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware)

Pare che in seguito il virus sia stato modificato con il nome di TorrentLocker, anche se la schermata parla sempre di CryptoLocker.

Mio consiglio, oltre quelli del buon Asterix, nel caso siate infettati e volete fare delle prove di decriptazione, magari anche in un secondo tempo:

staccare l'HDD infetto e metterlo in un case esterno scrivendo un etichetta del tipo "HDD infetto e criptato non avviare come boot"
fare il boot sempre da delle liveCD linux prima di attaccare il disco infetto
se avete qualche soldino in più o un HDD di riserva consiglierei addirittura di fare un clone dell'HDD infetto ed usare quello per le prove

Attenzione: se volete ripristinare i dati da un backup che non sia un'immagine del disco (dati copiati semplicemente o compressi), e se il virus non è stato completamente debellato prima rischiate di infettare anche il backup se fosse su un HDD esterno. Consiglio pertanto di fare come backup delle immagini del disco utilizzando una liveCD per fare il backup / ripristino. In caso non abbiate un'immagine disco ma solamente un semplice backup di dati, consiglio di utilizzare comunque una liveCD per il ripristino.

La schermata del CryptoLocker dovrebbe essere questa, (fonte Internet Crime Complaint Center)
http://www.ic3.gov/images/131028.png

Gli utenti Linux dovrebbero essere immuni da questo virus.

Visto che ho notato il link al sito (vedi sopra) per provare a decriptare i propri dati sul sito del United States Computer Emergency Readiness Team US-CERT (parte del "Department of Homeland Security") con la postilla


US-CERT has performed no evaluation of this claim, but is providing a link to enable individuals to make their own determination of suitability for their needs. At present, US-CERT is not aware of any other product that claims similar functionality.

vi posto anche questo link (https://www.decryptcryptolocker.com/) per tentare la decriptazione. Non mi prendo responabilità, come del resto ha fatto la US-CERT. Sarà l'utente a decidere se provarlo oppure no.

:bai

P.S. prego modificare il nome del file in CryptoLocker e non Cryptoclocker quindi dal titolo, testo e tag. In caso sia invece il nome corretto significa che ne è uscito un altro che personalmente non conosco e chiedo scusa.

Andy86
12-12-14, 16: 06
non aprire mail di dubbia provenienza, scritte in un italiano "stentato"

Ehmm.... se non le apri come fai a sapere che sono in un italiano stentato? :boh
Certi consigli a me sembrano proprio fatti per per prendere la gente per stupida.
Lo sapete che ci sono utenti che provano thunderbird e non lo usano perché "non si possono non aprire le mail"? :furious

Kirk78
12-12-14, 17: 32
L'italiano stentato alle volte è anche nell'oggetto della mail (pack perso). Forse intendeva questo Asterix. In caso comunque si aprisse perché l'oggetto sembra in italiano non cliccare su nessun link se si vede l'italiano stentato. :bai

iaia
13-12-14, 12: 54
Nemmeno aprire in formato testo, e vedere l'italiano stentato?

Kirk78
13-12-14, 13: 02
Su Mozilla Thunderbird, ma penso anche in altri client di posta, si può aprire anche come "Sorgente del messaggio" con Visualizza > Sorgente del messaggio(Ctrl+U) e dare un'occhiata lì. Ma il problema è che se per caso sembra una mail normale un'utente la apre (anche io) e quindi si spera che il nostro antivirus riesca nel caso ad intercettare l'eventuale virus, anche con varianti nuove. Aprirle tutte come sorgente messaggio sarebbe poco fattibile.

:bai

Andy86
13-12-14, 13: 22
:bai

E poi pensa se un utente normale può sapere di visualizzare il sorgente. :boh
Tra l'altro per fare quella cosa la mail bisogna selezionarla e se la selezioni si apre in automatico. :sisi

Kirk78
13-12-14, 14: 20
E poi pensa se un utente normale può sapere di visualizzare il sorgente.
E' per questo che esiste CT: :sisi


Tra l'altro per fare quella cosa la mail bisogna selezionarla e se la selezioni si apre in automatico.
:nono forse lo hai scelto te o hai attivato l'anteprima (che consiglio di non attivare). Io la seleziono e poi vedo il sorgente senza aprirlo. Ora però chiedo ad Asterix se si può discutere di queste cose su una Technews o è meglio aprire una discussione su Security.

:bai

Andy86
13-12-14, 14: 37
:bai

Su TB non c'è mai nessuna opzione relativa all'anteprima. I messaggi si aprono automaticamente alla selezione di default, anche quando installo TB su un altro pc (ma se ci sono contenuti remoti mi avverte e non li visualizza).

L'unico sistema per non aprirlo è cliccare direttamente con il pulsante destro, ma comunque non rimane selezionata, e poi chi ci pensa?

Pegaso
14-12-14, 08: 45
In Thunderbird, tab visualizza, struttura, togliere la spunta da anteprima messaggio, oppure tasto F8.

Asterix
14-12-14, 09: 11
Certi consigli a me sembrano proprio fatti per per prendere la gente per stupida.

Andy io non volevo certamente prendere per stupida la gente, e non voglio iniziare una polemica, forse non aprire l'email è una frase mal fatta meglio sarebbe stato non premere su link o allegati inseriti.

Di email scritte male fin dall'oggetto ce ne sono tante che circolano e comunque nonostante tutti questi "consigli" di infezioni ce ne sono tante.

:bai

Andy86
14-12-14, 11: 58
:bai

Certo Asterix, non ce lo mica con te. Ma si legge sempre dappertutto quella cosa.

@pegaso: quell'opzione era talmente ben nascosta che non l'avevo vista (:ehmm), anche perché io cercavo nelle preferenze.
Però disattivandola ti costringe ad aprire il messaggio in una nuova tab, e stai sicuro che vengono subito a lamentarsi che poi bisogna cliccare due volte. :ghgh

Pegaso
14-12-14, 12: 26
:bai

Certo Asterix, non ce lo mica con te. Ma si legge sempre dappertutto quella cosa.

@pegaso: quell'opzione era talmente ben nascosta che non l'avevo vista (:ehmm), anche perché io cercavo nelle preferenze.
Però disattivandola ti costringe ad aprire il messaggio in una nuova tab, e stai sicuro che vengono subito a lamentarsi che poi bisogna cliccare due volte. :ghgh

Di sicuro per lamentarsi ci sono certi personaggi che sembra passino la giornata a fare solo quello...
Ho indicato quella soluzione per chi non vuole avere l'anteprima delle e-mail e quindi per il discorso di vedere chi la manda ecc... prima di aprirla.

Kirk78
18-12-14, 22: 17
La disattivazione dell'anteprima, per me, è la primissima cosa da fare per avere un minimo di sicurezza e se non erro è presente non solo in Thunderbird ma anche su altri client di posta. Il buon Pegaso mi ha anticipato, anche perché sono stato un po' indaffarato ultimamente per cercare di guadagnare qualcosa per fare i regali ai bambini :cry3.


Ma si legge sempre dappertutto quella cosa.
E' sempre meglio dire, imho, anche l'ovvio alle volte per la sicurezza, sopratutto quì su CT. Ripetere sempre la stessa cosa per la sicurezza mi sembra sempre utile: meglio dirlo più volte, non ci costa poi molto mettere un qualche carattere in più :ghgh

Nei manuali tecnici c'è sempre scritto di inserire la spina nella corrente, è chiaro che anche i sassi lo sanno ma si scrive comunque.

Quello che mi preme è di continuare a dire sempre qualsiasi cosa, anche ovvia, sulla sicurezza. Penso che anche tu carissimo amico Andy86 :fleurs

:bai

Clairvoyant
20-12-14, 19: 40
Ciao a tutti :hap

Intervengo solo per segnalare che la versione che ultimamente sta facendo danni è quella già indicata Kirk78, ovvero Torrentlocker, e per fornire qualche informazione in più.
Mentre per una infezione da Cryptolocker originale la soluzione nella maggior parte dei casi si trovava, qui le cose sono ben più complicate.
Negli USA questo tipo di infezioni sono già in circolazione da qualche mese, ma pare che l'ultima variante si stia diffondendo anche altrove.
Nelle ultime due settimane ho ricevuto anch'io un bel pò di mail dai mittenti indicati da Asterix, che ho testè cestinato.

A parte quanto già detto qui per cercare di evitare l'installazione del malware, quello che consiglio io è di installare Cryptoprevent (https://www.foolishit.com/vb6-projects/cryptoprevent/) e di settarlo con il livello di protezione massimo.
E' un software creato appositamente per contrastare Cryptoprevent & affini, e con la protezione al massimo sembra sia in grado di bloccare anche Torrentlocker.
La versione gratuita ha delle funzionalità in meno della premium, ma a livello di protezione intrinseca del programma dovrebbe cambiare poco.

Vi segnalo inoltre un paio di link che tornano sicuramente utili alla comprensione di questi ransomware e dove potete trovare informazioni utili nel caso di infezioni. Sono articoli scritti direttamente da Grinler, admin di Bleeping Computer.


Cryptolocker (http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information)
Torrentlocker (http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information)

Purtroppo io è da un pò di mesi che non riesco ad essere attivo sull'argomento e non posso aggiungere altro.:triste

:bai

Kirk78
24-12-14, 18: 21
Grazie Clairvoyant per le informazioni e buone feste! Ci darò un'occhiata più attenta dopo le feste, tempo permettendo. Noto che

but newer variants are coming out that can only be stopped by the Maximum Protection + Program Filtering (BETA) option, which uses a definitions based system to keep current with known malware threats. This is however a “BETA” which means it is not fully tested on all platforms. Note this option is not available with the portable edition of CryptoPrevent.
di solito sono un po' dubbioso sulle BETA e non conoscevo “Foolish IT”. :boh

:bai

Clairvoyant
25-12-14, 03: 30
Ciao Kirk :)

Occhio che ormai parlando di questo tipo di tools è difficile non parlare di "beta".
Una volta il beta stava a significare qualcosa di incompleto/non perfettamente funzionante, al giorno d'oggi il termine beta è usato in maniera un pò più estensiva.

Dal mio punto di vista tutti i software sono beta in quanto continuamente sviluppati, escono dallo stato di beta in uno stadio molto tardo che quasi sempre da lì a poco dà luogo ad una nuova versione o alla cessazione dello sviluppo. E' il web 2.0, tutto è beta.

In questo caso il beta dovrebbe essere dato sia da modifiche del codice in sè, sia per le funzioni.
Trattandosi di malware che viene modificato rapidamente, il tool sarà in beta credo per un bel pò visto che per coprire tutte le aree di interesse ed i vari meccanismi di infezione credo ci vorrà del tempo.
Magari quando uscirà dalla beta vorrà dire che lo sviluppo di questo tipo di malware si sarà fermato, e conseguentemente si fermerà anche lo sviluppo del tool.

Cryptoprevent alla fine non fa molto di più che agire sulle policies, ma lo fa con click anzichè andarsele a settare a mano.
Poi non è tutto oro quel che luccica, e qualche problemino con la normale gestione degli altri programmi può esserci.

FoolishIT è il nome che si è dato l'autore, come puoi vedere da qui (https://www.foolishit.com/about/), ma a dispetto del "marchio" non si tratta certo di uno sprovveduto.

Che tu non l'abbia mai sentito non mi sorprende, è diventato conosciuto con l'avvento di Cryptolocker ed affini, che qui in Italia fino ad oggi erano praticamente sconosciuti. Fino a pochi mesi fa non lo conoscevo anch'io.
Del resto, sempre qui da noi, credo che nick come Farbar, Xplode, thisisu e magari sUBs, per citarne alcuni, non siano poi così famosi.
Se cerchi con google però vedrai che questi signori in giro per il mondo lo sono, e fanno dei gran lavori.:eye

Il problema se vogliamo da una parte è che le grandi ondate di malware per qualche strano motivo in questi anni ci hanno risparmiato (es. TDSS e ZeroAccess qui da noi sembra non abbiano fatto troppi danni, mentre in altre parti del mondo infettavano milioni di pc), dall'altra che i nick che un tempo erano di riferimento per la rimozione di malware sono fisiologicamente scomparsi e sono stati rimpiazzati in maniera insufficiente, imho.

Tornando a Cryptoprevent, per quel che ho potuto vedere in questi giorni va bene per computer con account che hanno già diverse restrizioni.
Per computer "operativi" dove si testa un pò di tutto potrebbe creare problemi con l'esecuzione di alcuni programmi, il che risulta fastidioso, ma non mi sono ancora messo a fare dei test approfonditi e non so quando riuscirò a farli.
Il problema in alcuni casi è aggirabile velocemente cambiando il livello di protezione quando ci si accinge ad eseguire programmi sui quali si riscontrano problemi, ma non è una soluzione ottimale e in alcuni casi richiede un riavvio.
Nel futuro prossimo cercherò di approfondire l'argomento anche perchè su BC, dove sono presente, sicuramente incontrerò il problema e non essendo un seguace di soluzioni confezionate mi serviranno argomenti solidi e testati.

Provalo comunque pure tu e fai le tue analisi, sicuramente non sarà tempo perso. :eye

Ciao e buon Natale:l_santa