Volete evitare di perdere tutti i vostri documenti o di pagare centinaia di euro per riaverli, bene.. allora probabilmente è il caso che sappiate che cos’è Cryptolocker!
Cryptolocker è un trojan che rientra nella categoria dei Ramsonware (da ramson = riscatto in inglese) ovvero particolari malware che alterano i file o le condizioni di un computer e successivamente richedono al proprietario un riscatto in denaro per poter ritornare alla situazione precedente all’attacco subito dal virus.
In particolare Cryptolocker cripta un gran numero di file presenti sul computer della vittima rendendoli di fatto illeggibili per chiunque non possegga la giusta chiave per decriptare i suddetti file. Una volta fatto ciò, Cryptolocker segnala al proprietario del PC infettato che l’unico modo per ottenere la password di decifrazione dei suoi file per poterne cosi recuperare il contenuto è quello di pagare un riscatto, in genere tramite l’uso di BitCoin o altre criptomonete.
Come si diffonde Cryptolocker
Dopo aver illustrato che cos’è Cryptolocker passiamo alla questione della sua diffusione. Questo malware solitamente si diffonde come allegato di posta elettronica e viene perciò inviato tramite email. Le mail che contengono il virus vengono inviate da “pirati informatici” o da software automatizzati, che facendo uso di semplici tecniche di ingegneria sociale ed utilizzando una falsa identità e le scuse più disparate, tentano di indurre le ignare vittime a credere nella necessità di eseguire l’allegato presente nella mail.
L’allegato nella mail all’apparenza può sembrare un normale pdf o un file zip, ma in realtà sono dei file eseguibili Windows con all’interno il virus. Infatti i sistemi Windows molto intelligentemente (è ironico) di default nascondono la reale estensione dei file (in questo caso .exe) ed è facile che utente comune o sovrappensiero ad vedendo file dai nomi verosimili come “fattura.pdf” o “archivio.zip” si lascino incuriosire e magari facendoci doppio click li fanno partire (in realtà questi file hanno l’estensione nascosta altrimenti si vedrebbe che i loro nomi reali sono “fattura.pdf.exe” o “archivio.zip.exe”).
Cosa fa Cryptolocker dopo la prima esecuzione
Ora che sappiamo cos’è Cryptolocker e come si diffonde vediamo quello che succede una volta che il file eseguibile di Cryptolocker viene eseguito. Per prima cosa, il virus va ad installarsi in una cartella di Windows (solitamente “Document and Settings” o “Users”) usando un nome casuale e successivamente va a modificare le chiavi di registro di sistema in modo tale da impostarsi come applicazione attiva tramite avvio automatico.
Fatto ciò, sfruttando la connessione internet del PC appena infettato, esso tenta di collegarsi ad un server remoto di proprietà dei creatori del virus, da cui va a prelevare una chiave RSA a 2048 bit. Una volta prelevata la chiave, Cryptolocker inizia a criptare la maggior parte dei file presenti nel disco fisso del PC ed in tutte le risorse di rete accessibili in lettura e scrittura usando la chiave prelevata (vengono criptati solo file di estensioni predefinite, in genere soprattutto documenti e foto, quindi per esempio file .pdf, .doc, .docx, .odt, .jpg, etc…).
Dopo aver criptato tutti i file che è riuscito a trovare nel PC e nelle risorse di rete, Cryptolocker avvisa l’utente che l’unico modo per decifrare i file è quello di ottenere la chiave di cifratura, dietro il pagamento di un riscatto.
In quanto tempo si propaga il virus su tutto il pc?
Il virus dopo essere stato eseguito per la prima volta deve accedere ad internet per recuperare la chiave di cifratura. Per questo è per lui necessario che il PC della vittima sia collegato ad internet oppure, in alcune versioni più avanzate, che sia collegato in LAN con altri PC a loro volta collegati ad internet i quali Cryptolocker tenterà via via di infettare.
Inoltre Cryptolocker avrà bisogno di tempo per propagarsi su tutti i file presenti sul PC in quanto dovrà di volta in volta esplorare l’albero delle directory del sistema operativo e criptare ciascun file. Il tempo per criptare tutti i file dipende ovviamente dalle specifiche tecniche del pc (cpu, ram, velocità hard disk, velocità lan durante la cifratura dei file sulle risorse di rete condivise).
Come accorgersi di essere stati infettati?
In genere è molto difficile accorgersi del virus non appena si è stati infettati in quanto una volta lanciato l’eseguibile del virus, questo scompare ed il malware inizia ad agire in background.https://www.youtube.com/watch?v=k4QrK_IBRcI
Solitamente si capisce di essere stati infettati solo quando il virus ha terminato di criptare tutti i file dell’hard disk e quelli condivisi in rete, poichè l’utente viene avvisato che dovrà pagare il riscatto (Il virus in genere apre dei popup o dei file con le indicazioni per il pagamento del riscatto).
Ovviamente se capite di essere stati infettati da Cryptolocker vi consigliamo subito di disattivare internet togliendo il cavo di rete o spegnendo il vostro modem e di rivolgervi immediatamente ad un tecnico per cercare di salvare il salvabile.
Come riconoscere i file criptati dal virus e quelli “sani”?
Da quello che ho potuto osservare e da quello che si legge in rete esistono differenti versioni del virus. Alcune versioni si limitano ad effettuare la copia di un file, a criptare il file copiato ed infine a rimuovere il file originale, itinerando il procedimento per ciascun file. In questo caso ad esempio se ho un documento“miofile.doc” non mi accorgerò mai che il file è criptato a meno che non provi ad aprirlo. Tentando l’apertura del file ovviamente riceverò un errore da parte di Microsoft Word (o del programma adibito per la sua apertura) che non riuscirà a leggere niente in quanto il contenuto è stato criptato.
Altre versioni del virus invece agiscono in modo leggermente differente, ovvero procedono direttamente a criptare ciascun file ed inoltre gli cambiano l’estensione con una stringa diversa probabilmente pseudo-casuale. Ad esempio sempre partendo da un file “miofile.doc” mi ritroverei dopo la cifratura ad una situazione “miofile.xyz”.
Nel secondo caso in cui i file vengono criptati e rinominati è facile accorgersi dei file criptati a causa dell’estensione differente, mentre nel primo caso descritto l’unico modo per controllare se un file è criptato o meno è solo quello di aprirlo e verificare che sia leggibile. In poche parole non esiste un modo per accorgersi se i file sono criptati o meno se non quello di aprirli ad uno ad uno.
Conclusioni
Dopo aver visto che cos’è Cryptolocker ed i danni che può causare vi ricordiamo di fare molta attenzione a quello che scaricate, in particolar ricordatevi di non eseguire mai gli allegati nelle email inviate da sconosciuti.