Crypto Locker

Questa sezione ci sono gli annunci di sicurezza
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Crypto Locker

Messaggio da Martyn »

Salve gente,
ultimamente vedo aumentare le segnalazioni da amici, parenti e conoscenti di una minaccia pericolosissima dal nome: CryptoLocker!
Vediamo di capire come funziona. In sostanza i veicolo di diffusione è il classico trojan che, una volta infettato il pc della vittima, ha effettuato il suo lavoro "sporco", il resto è demandato a un programma che gira in "trasparenza" sul sistema (quindi non rilevato dagli antivirus) che cripta tutti, o quasi tutti, i file personali (circa 150 estensioni riconosciute) con una chiave pubblica. Una volta criptato i file, viene lasciato un messaggio all'utente del sistema a cui viene invitato a pagare una quota per "decriptare" i suoi file personali. Inutile dire che pagare non serve a nulla.

Se pensate che potete scardinare la criptazione cercando di risalire alla chiave privata, vi dico subito che l'algoritmo usato è l'AES a 2048 bit, impossibile da spezzare. Cosa fare allora?
Francamente non ho soluzioni, ho fatto una breve ricerca su internet e questo "malware" si evolve sempre più perfezionandosi ad ogni nuova uscita. Quello che sono riuscito a trovare di interessante, lo trovate a questo indirizzo: http://blog.cisco.com/security/talos/teslacrypt.

Visto che il veicolo preferito di diffusione è la mail, vi invito a non aprire email dubbie, con allegati in formato .zip anche se vi sembrano arrivare da vostri amici (controllate sempre il dominio delle email... un @yander.ru dovrebbe farvi sospettare quantomeno). Occhio anche ai siti che visitate, eliminate l'anteprima delle email, e disattivate l'html nelle email: belle "lettere" da vedere ma trasportatore di codice malevolo.

Al momento non ho soluzioni, appena avrò aggiornamenti, aggiorno questo post. Se avete delle domande, o probabili soluzioni, scrivete!
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Non sono passati neanche 24 ore, che il blog di Cisco con la notizia su come rimediare al Crypto Locker (o almeno tentare),anche se alla versione 2.0, è scomparso, puff! sparito nel nulla!

Continuerò a trovare informazioni. Se qualcuno ha informazioni da aggiungere, ben vengano.
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Ecco un articolo interessante scritto da Paolo Attivissimo riguardo questo argomento, e come sia pericoloso sottovalutarlo. Potete leggere il suo articolo qui pubblicato su Zeus News (articolo di 4 pagine)

Buona lettura
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Ringrazio il mio amico Lorenzo L. che mi ha segnalato questo articolo: Here's How to Decrypt Hydracrypt & Umbrecrypt Ransomware Files.

Ribadisco che una soluzione reale ancora non esiste, ma tentare qualsiasi strada per recuperare quello che si è perso ( senza avere nemmeno un backup :roll: ) è un tentativo da fare.
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Neanche un mese ed ecco una nuova variante pericolosissima di "ransomware". In poche parole, questo ransomware cripta non solo il disco, ma anche il PRIMO SETTORE DEL DISCO RIGIDO. Cosa significa ciò? Che qualsiasi disco diventa una piccola cassaforte dove ci sono i vostri dati riscattabili solo previo pagamento, e potenzialmente, questo programma può criptare qualsiasi sistema operativo. Petya questo il nome dell'ultima versione del pericolosissimo ransomware che cripta il disco rigido + l'MBR (Master Boot Record), la traccia "zero" dove sono contenute le istruzioni "geometriche" del disco (valori che permettono il caricamento del o dei sistemi operativi) quali la tabella delle partizioni con relative grandezze, il "label" del filesystem, ed altri valori. "Petya" è il più subdolo dei ransomware che si possa studiare o ideare.

Il ransomware, per ora solo funzionante su windows, si presenta come un aggiornamento di sicurezza che chiede il riavvio del sistema, una volta ravviato, inizia una finta scansione che in realtà sta criptando il disco compreso il Master Boot Record, finita la finta scansione, compare un avviso in formato ASCII che vi avvisa che il disco è criptato e che se volete riscattare i vostri dati, dovete pagare seguendo le istruzioni messe a video.

Inutile dire che non va pagato nulla. Una soluzione al momento non esiste se non avere un backup pulito. Al momento non sono a conoscenza se possa criptare la partizione UEFI, quindi l'unico consiglio è quello di stare in campana.

Le fonti:
  1. Articolo Notizia: Petya, l ransomware da Master Boot Record - Punto Informatico
  2. Annuncio sul sito di G-Data: Ransomware Petya encrypts hard drives
Epoc
Utente
Messaggi: 58
Iscritto il: 22/11/2013, 1:41
Località: Sasso Corvaro, (PU)

Re: Crypto Locker

Messaggio da Epoc »

Nessun aggiornamento? Ho un amico che gli hanno criptato di tutto e non so cosa fare, come aiutare :roll: :roll: :roll:
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Zeus News - Rilasciate le chiavi per TeslaCrypt

Sembrerebbe che i criminali informatici che hanno terrorizzato il web con TeslaCrypt abbiano fatto un "mea culpa" ed abbiamo rilasciato la master key che permette di decriptare tutti i file personali colpiti da Ransomware TeslaCrypt.
La notizia a sorpreso il mondo. Decine e decine di file ora attendono la prova che le chiavi siano genuine. Staremo a vedere nei prossimi giorni cosa accade, intanto incrociamo le dita.

Intanto Eset ha creato uno strumento di decrittazione che potete trovare qui: ESET - TeslaCrypt Decryptor

Enjoy!
Epoc
Utente
Messaggi: 58
Iscritto il: 22/11/2013, 1:41
Località: Sasso Corvaro, (PU)

Re: Crypto Locker

Messaggio da Epoc »

Finalmente! Ma il tool funziona veramente? :?
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Crypto Locker

Messaggio da Martyn »

Provalo e facci sapere come è andata con il tuo amico.
Parola d'ordine... provare. :mrgreen:
Epoc
Utente
Messaggi: 58
Iscritto il: 22/11/2013, 1:41
Località: Sasso Corvaro, (PU)

Re: Crypto Locker

Messaggio da Epoc »

So che aspettavi una risposta... ma non so se funziona. Il mio amico ha fatto il format del pc accettando la perdita di tutto :(
Attendo qualcuno che abbia sperimentato il software di ESET.
Rispondi