PI Guide/ Ransomware, mai più riscatti

Procedure e tool per proteggersi dai cryptomalware e recuperare i file sequestrati

Si chiamava DocEncrypter ed era un malware di "nuova generazione", scoperto sul finire del 2012, capace di rendere inaccessibili i file DOC archiviati negli hard disk delle vittime. Da allora, questa tipologia di malware venne classificata come "ransomware" (dall'inglese "ransom", riscatto), a indicare quei virus che, dopo aver infettato il sistema operativo, criptano i file dell'utente bloccandone l'accesso fino a quando non paga il riscatto richiesto dai cybercriminali creatori del virus.

Nella maggior parte dei casi la diffusione dei ransomware avviene attraverso email fasulle (le più diffuse usano i loghi di famosi corrieri come SDA e DHL, oppure quelli di Equitalia e TIM) che fungono da "cavallo di Troia" e invitano il destinatario a cliccare su un link o ad aprire un file allegato. Queste email, come i file ad esse allegati, sono generati e veicolati attraverso una botnet, ossia un insieme di server coordinati tra loro e dislocati in tutto il mondo che spediscono migliaia di messaggi simili ma con link e allegati diversificati. Solo in alcuni casi particolarmente fortunati, quindi, l'antivirus in uso sarà in grado di bloccare l'esecuzione di ogni specifico file generato dinamicamente sui server della botnet. Il più delle volte, non essendo riconosciuto come una minaccia, il blocco dei file si scatenerà indisturbato. L'unico modo per proteggersi è installare una sentinella in grado di segnalare e prevenire un possibile attacco come Malwarebytes Anti-Ransomware e poi, in caso di minaccia individuata e bloccata, ricorrere agli strumenti di rimozione integrati in Avast Free Ransomware Decryption Tools per debellarla definitivamente.

Caratteristiche peculiari dei ransomware
I ransomware sono generalmente dei "malware mutanti". La loro mutazione si ottiene attraverso l'attivazione di file totalmente diversi dal medesimo link a intervalli di tempo molto ravvicinati, anche nell'ordine del quarto d'ora. Da questi link vengono scaricati i file che potranno scatenare la crittografia dei dati o, in alternativa, l'attacco di altre tipologie di virus quali dropper, rootkit eccetera. Di fatto, con una frequenza di mutazione e distribuzione così ravvicinata, nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme di identificazione), sarà ragionevolmente in grado di bloccare preventivamente.
Hanno inoltre un periodo di incubazione praticamente nullo. L'attivazione del ransomware produce immediatamente gli effetti malevoli e dannosi come il blocco dei file di uso più comune quali DOC, XLS, MDB, JPG eccetera e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso.
I dati vengono crittografati con algoritmi estremamente sofisticati come AES o RSA, con chiavi da un minimo di 128/256 bit fino ad arrivare a 2.048 bit o più, rendendoli, di fatto, praticamente irrecuperabili.
Richiedono un riscatto, in molti casi in Bitcoin, attraverso la rete anonima Tor. Visto il notevole ritorno economico, quindi, i creatori del cryptomalware hanno tutto l'interesse a variare i file portatori del malware con la massima velocità in modo che alcun software antivirus, antispyware e antimalware possa intercettarli preventivamente.
Una sentinella per prevenire i sequestri
Malwarebytes Anti-Ransomware monitora in tempo reale tutte le attività del computer rilevando e bloccando automaticamente le azioni sospette tipiche di un ransomware.
Dal forum ufficiale di Malwarebytes scarichiamo l'ultima versione del software (si tratta di una versione beta rilasciata solo per scopi di test) e installiamolo con un doppio clic sul file MBARW_Setup.exe. Al termine il programma attiverà automaticamente la protezione del PC.


Malwarebytes Anti-Ransomware non richiede alcun tipo di configurazione. Cliccando sulla sua icona nell'area di notifica di Windows possiamo accedere alla Dashboard. Da qui controlliamo se la protezione è attiva ed eventualmente possiamo interromperla cliccando Stop Protection.


Il tool riesce a bloccare ransomware come CryptoWall, CryptoLocker, Tesla e CTB-Locker. Quelli bloccati sono elencati nel tab Quarantine da cui potranno essere eliminati o ripristinati. In Exclusions invece possiamo specificare i file che non vogliamo vengano rilevati come malevoli.


Come rimuovere i ransomware dal PC
Ricorrendo ai Free Ransomware Decryption Tools di Avast possiamo invece eliminare i più pericolosi cryptomalware che risultano già annidati nel PC. È sufficiente avviare il tool di rimozione specifico per il virus che si vuole eliminare e lasciare che faccia il suo compito. Analizziamoli più da vicino per capire quale tool bisogna usare a seconda del ransomware che ci ha infettati (possiamo riconoscerli facilmente dall'estensione utilizzata per criptare i file - o dal comportamento - e dal messaggio di riscatto visualizzato a schermo).

Alcatraz Locker - Se si è vittima di questo ransomware i file crittografati presenteranno estensione .Alcatraz. Dopo che i file sono stati crittografati, viene visualizzato il messaggio di avvenuta infezione.
Scarica il tool di rimozione da qui.


Apocalypse - Aggiunge .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted in coda al nome dei file (ad esempio, Tesi.doc diventa Tesi.doc.locked). Se si apre un file con estensione .How_To_Decrypt.txt, .README.txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt o .Where_my_files.txt (ad esempio Tesi.doc.How_To_Decrypt.txt) viene visualizzata la richiesta di riscatto.
Scarica i tool di rimozione da qui e da qui.


BadBlock - Questo ransomware non rinomina i file come fanno gli altri. Eseguita la crittografia dei dati personali, BadBlock visualizza il messaggio di avvenuta infezione copiandolo dal file di testo Help Decrypt.html archiviato sul desktop.
Scarica i tool di rimozione per Windows a 32-bit e Windows a 64-bit.


Bart - Aggiunge .bart.zip in coda al nome dei file (ad esempio Tesi.docx.bart.zip). Si tratta di archivi ZIP crittografati in cui sono contenuti i file originali. Dopo aver crittografato i file, Bart sostituisce lo sfondo del desktop con una sua immagine. Il file dell'immagine viene salvato sul desktop, con un nome simile a recover.bmp e recover.txt.
Scarica il tool di rimozione da qui.


Crypt888 - Aggiunge Lock. all'inizio del nome dei file (ad esempio Lock.Tesi.doc). Eseguita la crittografia dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una schermata diversa a seconda della variante del virus.
Scarica il tool di rimozione da qui.


CrySiS - I file crittografati possono presentare numerose estensioni diverse come .johnycryptor@hackermail.com.xtbl, .ecovector2@aol.com.xtbl, .systemdown@india.com.xtbl, .Vegclass@aol.com.xtbl, .{milarepa.lotos@aol.com}.CrySiS, .{Greg_blood@india.com}.xtbl, .{savepanda@india.com}.xtbl, .{arzamass7@163.com}.xtbl. Dopo che i file sono stati crittografati, viene visualizzato sul desktop dell'utente un messaggio minatorio contenuto all'interno di un file
denominato Decryption instructions.txt, Decryptions instructions.txt o *README.txt.
Scarica il tool di rimozione da qui.


Globe - Aggiunge al nome dei file una delle seguenti estensioni: .ACRYPT, .GSupport(0-9), .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid(0-9), .siri-down@india.com, .xtbl, .zendrz o .zendr(0-9). Inoltre, alcune delle varianti
di questo ransomware crittografano anche i nomi dei file. Dopo aver crittografato i file, viene visualizzato un
messaggio di avvenuta infezione che invita l'utente a pagare il riscatto per sbloccare i file archiviati nell'hard disk (contenuto in un file denominato How to restore files.hta o Read Me Please.hta).
Scarica il tool di rimozione da qui.


Legion - Aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome dei file (ad esempio Tesi.doc._23-06-2016-20-27-
23_$f_tactics@aol.com$.legion
). Dopo avere eseguito la crittografia dei file sostituisce lo sfondo del desktop e visualizza un messaggio minatorio che intima all'utente di pagare il riscatto per sbloccare i file.
Scarica il tool di rimozione da qui.


NoobCrypt - Non modifica i nomi dei file, tuttavia, una volta crittografati, i file non possono essere aperti utilizzando le applicazioni associate. Viene visualizzato un messaggio, contenuto nel file ransomed.html archiviato sul desktop dell'utente.
Scarica il tool di rimozione da qui.


SZFLocker - Aggiunge .szf in coda al nome dei file (ad esempio Tesi.doc.szf). Quando si tenta di aprire un file crittografato, visualizza un criptico messaggio in polacco
Scarica il tool di rimozione da qui.


TeslaCrypt - L'ultima versione di TeslaCrypt non modifica il nome dei file. Dopo avere eseguito la crittografia visualizza un messaggio di minaccia per l'utente.
Scarica il tool di rimozione da qui.


10 consigli d'oro per stare alla larga dai ransomware

1) I backup prima di tutto - Per essere sicuri di riuscire a recuperare i dati presenti sul disco rigido anche in caso di attacco di ransomware è fondamentale eseguire i backup dei file, almeno quelli più importanti. La cosa migliore è creare almeno due copie di backup, uno da salvare su un supporto (hard disk, DVD, pendrive, ecc.) e l'altro da conservare su cloud servendosi di servizi come Dropbox o Google Drive.

2) Verifiche periodiche - Mantenere integra la copia di backup dei dati è fondamentale per poterli ripristinare in caso di emergenza, ad esempio dopo che il PC è stato infettato da un ransomware. Assicuriamoci periodicamente che le copie di riserva siano perfettamente funzionanti e che nessun file sia danneggiato. Capita infatti che a causa di un errore accidentale i backup salvati su un hard disk esterno o pendrive vengano cancellati o corrotti.

3) Attenti al phishing - Capita che per diffondere i propri malware i criminali informatici adeschino gli utenti inviando loro falsi messaggi di posta elettronica che, imitando le comunicazioni dei negozi online e degli istituti di credito, li invitano a cliccare su link che aprono pagine infette. Per evitare ciò adoperiamo un filtro antispam ed evitiamo di cliccare su link o di aprire allegati contenuti nelle email inviate da mittenti sconosciuti.

4) Mai abbassare la guardia! - In ogni caso, per nostra massima sicurezza, evitiamo di cliccare anche sui link contenuti nei messaggi di posta elettronica inviati dagli amici, compresi quelli conosciuti sui social network o compagni di giochi online. È sempre possibile che i loro account di posta siano stati violati e utilizzati per effettuare altri attacchi in Rete.

5) Estensioni sempre visibili - Spesso i malintenzionati camuffano virus e trojan usando estensioni di file a noi familiari (documenti, video ecc.) in modo da confonderci e farci cadere nella trappola. Un esempio di file "camuffato" può essere ad esempio "report.doc.scr", che noi visualizzeremo come "report.doc". Allo scopo di riconoscere più facilmente file potenzialmente dannosi è opportuno abilitare la visualizzazione delle estensioni per i tipi conosciuti. In questo modo riusciremo a individuare facilmente file dannosi che hanno estensione EXE, VBS o SCR.

6) Aggiorniamo tutto! - Per la protezione da virus e malware è fondamentale tenere aggiornato non solo il sistema operativo, ma anche i programmi che usiamo abitualmente (browser Internet, antivirus ecc.). I criminali informatici infatti vanno alla ricerca di vulnerabilità nei software per introdursi nei computer e comprometterne il contenuto.

7) Abbiamo un buon antivirus? - Per proteggere il PC dai ransomware è necessario munirci di buon antivirus che impedisca a qualsiasi file dannoso di entrare nel sistema nel corso di tutte le operazioni che eseguiamo quotidianamente. Sarà così in grado di segnalarci file infetti o allegati sospetti nei messaggi di posta elettronica o su chiavette USB, pagine Internet dal contenuto dannoso ecc.

8) Processi anomali in esecuzione - Se ci accorgiamo che sul computer è in esecuzione un processo che non conosciamo, la prima cosa da fare è staccare la connessione a Internet. Se il ransomware non ha completato il suo lavoro e non ha ancora eliminato dal disco rigido la chiave di criptazione sarà ancora possibile ripristinare i file. Questo accorgimento non funziona se abbiamo a che fare con un ransomware di nuova generazione che utilizza una chiave predefinita.

9) Non sborsiamo mai un euro - Nella malaugurata ipotesi che i file memorizzati sul disco rigido siano stati criptati da un ransomware non paghiamo il riscatto, a meno che non ci serva nell'immediato l'accesso a qualche dato particolarmente sensibile e importante. Qualora lo facessimo contribuiremmo a far andare avanti l'attività illegale di questi criminali informatici.

10) Quando il ripristino è possibile - Se siamo stati infettati da un ransomware possiamo comunque provare a individuarne il nome e ripristinare i file. Nel caso di vecchi ransomware è più semplice riuscire a decriptare i file. A tal proposito gli esperti di sicurezza (ad esempio quelli dei laboratori Avast) rilasciano su Internet appositi tool di ripristino dei file che consentono di risolvere il problema in pochi clic.
Notizie collegate
  • SicurezzaPetya, decodificato il ransomwareUno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
  • AttualitàRansomware mangia ransomwareIl bundle Mischa/Petya manda al tappeto il rivale Chimera, svelandone le chiavi crittografiche, e si prepara a lanciare il suo programma affiliati cybercriminale
  • SicurezzaKaspersky scardina CryptXXXL'azienda russa rilascia un nuovo strumento per decodificare i file presi in ostaggio dal ransomware. Una buona notizia per le vittime di questi malware
18 Commenti alla Notizia PI Guide/ Ransomware, mai più riscatti
Ordina
  • 11) Creare due utenti, uno amministratore e l'altro no. Ed utilizzare sempre l'utente SENZA diritti amminitrativi. Quando si vuol installare qualcosa usare "esegui come amministratore".
    non+autenticato
  • - Scritto da: danylo
    > 11) Creare due utenti, uno amministratore e
    > l'altro no. Ed utilizzare sempre l'utente SENZA
    > diritti amminitrativi. Quando si vuol installare
    > qualcosa usare "esegui come
    > amministratore".

    Con questo metti al sicuro i dati accessibili solo da amministratore. Tutti i dati , locali e di rete , modificabili dall'utente restano in balia del ransomware.
  • - Scritto da: aphex_twin
    > - Scritto da: danylo
    > > 11) Creare due utenti, uno amministratore e
    > > l'altro no. Ed utilizzare sempre l'utente SENZA
    > > diritti amminitrativi. Quando si vuol installare
    > > qualcosa usare "esegui come amministratore".
    >
    > Con questo metti al sicuro i dati accessibili
    > solo da amministratore. Tutti i dati , locali e
    > di rete , modificabili dall'utente restano in
    > balia del ransomware.

    Ieri stavo per rispondere in modo simile ma poi, preso dallo sconforto, mi sono detto: ''...tanto è inutile...'', anche se personalmente nella risposta avrei precisato ''utente corrente'' invece di ''utente'', altrimenti poi si ingenera confusione, specialmente se chi legge non è addentro alla materia: ad esempio in una multi-utenza 1 admin e 10 utenti limitati, ipotizzando che 1 dei 10 utenti limitati esegua un ransomware si avrebbe quale risultato finale - con le dovute eccezioni legate alla qualità del malware - la perdita dei dati della sola utenza che ha eseguito il ransomware.

    In realtà, il vero problema per l'utente ''normale'' è riuscire a valutare da solo se l'infrastruttura che sta usando è configurata in modo tale da impedire lo scempio dei propri dati...e sotto Windows l'unico test - semplice e alla portata di tutti - per verificare il grado di sicurezza/immunità (diciamo al 99%) di un sistema ai ransomware è questo:

    1) Per il test utilizzare l'utenza di lavoro o comunque quella utilizzata normalmente (limitata/amministrativa che sia)

    2) Disabilitare temporaneamente l'UAC se presente

    3) Se presente/attivo disabilitare temporaneamente l'antivirus

    4) Eseguire un programma qualsiasi in versione portable (ovvero che non richieda installazione)


    Il programma viene eseguito e visualizzato a schermo? Allora il sistema è vulnerabile ai ransomware al 100%, altrimenti no.
  • apocalypse - brute-forcing unsecured RDP (admin pollo)
    alcatraz locker - javascript (aka il cancro del web)
    badblock - email (utente pollo)
    bart - email (utente pollo)
    crypt888 - email (utente pollo)
    crysys - email (utente pollo)
    globe - javascript
    legion - falso .torrent da 3.5MB (utente µPolloSorride )
    noobCrypt - email (utente pollo)
    szflocker - email (utente pollo)
    teslacrypt - email (utente pollo)

    Dei ransomware riportati nell' articolo quasi il 70% sfrutta le email per diffondersi, quasi il 20% sfrutta JS, il resto sono servizi di rete mal configurati.

    La storia è sempre la stessa: c'è un eseguibile fuori controllo dove non ci dovrebbe stare. Voi mi direte: è colpa dell' utente! La mia risposta: l' utente non si può riparare.

    La segretaria non sa riconoscere l' estensione di un file nella sua email? Allegati "problematici" stroncati direttamente lato server. Eseguibili negli allegati? Nemmeno per scherzo! In un colpo solo ci liberiamo dei ransomware e degli str**zi che inviano formati proprietari.

    Per quanto riguarda il cancro del web: JS... browser schiaffato dentro una VM + jail , niente cache, accesso al filesystem (VM) limitato.

    Avanzano gli admin polli: lettera di dimissioni e fuori dai c.c.
    non+autenticato
  • > La storia è sempre la stessa: c'è un
    > eseguibile fuori controllo dove non ci dovrebbe
    > stare.

    IMHO se le cose sono impostate bene, specie tra la sedia ed il monitor, può anche arrivare il .vir in allegato

    > La segretaria non sa riconoscere l' estensione di
    > un file nella sua email?

    E io ti domando: perché deve farlo lei? Perché il server non le fa un'analisi degli elementi nella mail per "agevolarle" il lavoro?
    Intendo segnalandole in modo grafico quanto sono sicuri gli elementi.


    A quel punto il problema si sposta sul servizio del server e quello si può "riparare" più facilmente.
    non+autenticato
  • Suggerisco due piccoli accorgimenti che uso da tempo.
    Incrementate lo spazio a disposizione per il system restore, in modo da incrementare le chance di utilizzare l'opzione "versioni precedenti" e recuperare i files cancellati.
    Cambiate nome a vssadmin.exe in maniera tale che i ransomware non siano in grado di cancellare i punti di ripristino e le versioni precedenti.

    Non e' molto ma potrebbe aiutare.
    non+autenticato
  • Se cambi nome al file vssadmin.exe non succedono casini nel sistema ?
    user_
    1009
  • - Scritto da: user_
    > Se cambi nome al file vssadmin.exe non succedono
    > casini nel sistema
    > ?

    Succedono anche se non lo fai.
  • il ripristino da GUI continua a funzionare, per quello via CLI basterà usare il nuovo nome
    non+autenticato
  • Ma quante cagate hai scritto, 'sta a vedere che adesso rinominando un file ci si protegge dai ransomware e non possono cancellare i punti di ripristino...
    non+autenticato
  • Se possibile, non usate windows.

    Su Mac ad esempio l'esecuzione di programmi non firmati con certificato valido viene bloccata di default. In questo modo è impossibile infettarsi aprendo un allegato.
  • - Scritto da: bertuccia
    > Se possibile, non usate windows.
    >
    > Su Mac ad esempio l'esecuzione di programmi non
    > firmati con certificato valido viene bloccata di
    > default. In questo modo è impossibile infettarsi
    > aprendo un
    > allegato.

    Anche l'ergastolano in isolamento in una cella di massima sicurezza e' al sicuro ed e' impossibile che si infetti.

    Quindi la tua soluzione alle infezioni e' di rinunciare totalmente alla liberta'.

    Mo me lo segno...
  • - Scritto da: panda rossa
    >
    > Anche l'ergastolano in isolamento in una cella di
    > massima sicurezza e' al sicuro ed e' impossibile
    > che si infetti.
    >
    > Quindi la tua soluzione alle infezioni e' di
    > rinunciare totalmente alla liberta'.

    Ma figurati, hai in mano le chiavi, puoi fare quello che ti pare.

    Solo che la porta è blindata e non spalancata come su windows
  • - Scritto da: bertuccia
    > - Scritto da: panda rossa
    > >
    > > Anche l'ergastolano in isolamento in una
    > cella
    > di
    > > massima sicurezza e' al sicuro ed e'
    > impossibile
    > > che si infetti.
    > >
    > > Quindi la tua soluzione alle infezioni e' di
    > > rinunciare totalmente alla liberta'.
    >
    > Ma figurati, hai in mano le chiavi, puoi fare
    > quello che ti
    > pare.
    >
    > Solo che la porta è blindata e non spalancata
    > come su
    > windows

    E la serratura e' all'esterno.
  • - Scritto da: bertuccia
    > Se possibile, non usate windows.


    l'ho sempre detto che dei tre coglioni, sei il meno coglione...

    > Su Mac ad esempio l'esecuzione di programmi non
    > firmati con certificato valido viene bloccata di
    > default. In questo modo è impossibile infettarsi
    > aprendo un allegato.

    ...ma cio' non toglie che cadi come una pera nel falso senso di sicurezza datoti dai "certificati".

    vah be, dopo tutto sie un utente apple...
    non+autenticato
  • - Scritto da: bertuccia
    > Se possibile, non usate windows.
    >
    > Su Mac ad esempio l'esecuzione di programmi non
    > firmati con certificato valido viene bloccata di
    > default. In questo modo è impossibile infettarsi
    > aprendo un
    > allegato.
    ma la guida '101 modi per bypassare gatekeeper' a voi macachi non la danno?Sorride
    non+autenticato
  • - Scritto da: bertuccia
    > Se possibile, non usate windows.
    >
    > Su Mac ad esempio l'esecuzione di programmi non
    > firmati con certificato valido viene bloccata di
    > default. In questo modo è impossibile infettarsi
    > aprendo un
    > allegato.

    Faccio notare che chi fa quei malware, avevano violato i server di trasmission, popolare client torrent su osx, per diffondere la loro estorsione.
  • - Scritto da: bertuccia
    > Se possibile, non usate windows.
    >
    > Su Mac ad esempio l'esecuzione di programmi non
    > firmati con certificato valido viene bloccata di
    > default. In questo modo è impossibile infettarsi
    > aprendo un
    > allegato.

    Faccio notare che chi fa quei malware, avevano violato i server di trasmission, popolare client torrent su osx, per diffondere la loro estorsione.