Leggere attentamente
Il file non è visibile come “.exe” ma in realtà come “.pdf.exe” perchè l’attaccante si avvale del fatto che i sistemi Windows non mostrano le estensioni dei file. E un file così creato verrebbe visualizzato come “.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo.
Ecco, per esempio, una delle mail che girano: «Buongiorno, ti ringraziamo per l’ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti. Il tuo numero di riferimento è: B9B3920250C3786E Azienda: Soc. coop. I seguenti oggetti sono stati rimborsati come richiesto per un totale di 440.78 euro. Si prega di aprire il file allegato per maggiori informazioni».
In verità l’allegato non va assolutamente aperto e la mail va immediantamente cestinata, appunto perchè contiene un virus variante del cryptloker che comporterebbe la criptazione dei dati.
Quando viene eseguito per la prima volta, il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico.
A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.
Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.
Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti.
Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.
Se CryptoLocker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l’unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware.
Per qualsiasi informazione non esitare a contattarci.
