hard-disk-locked

foto credit : succo

Che tristezza, ad un mio amico strettissimo nonche’ collaboratore in azienda e’ successa una cosa tremenda : e’ stato vittima di un ransomware un crimine informatico bell’e’ buono.

In pratica e’ stato violato il suo server domestico pieno zeppo di fotografie e filmati di parenti, amici, momenti di vita e tanti, tanti bellissimi paesaggi essendo un appassionato di fotografia …

Andiamo per ordine

Il mio collega la mattina accede al proprio server e si ritrova con un documento sul desktop che lo invita a contattare via email colui che gli ha criptato tutti i files.

Stupefatto ha prima cercato di aprire i files tutti con estensione .CRYPTOLOCKER, poi provato a cambiare estensione ma vedendo che non si aprivano ha iniziato a cercare in rete per scoprire che il solo sistema per decriptare i suoi files e’ avere la seconda parte della chiave di criptazione che pero’ e’ in mano ai malviventi.

cryptolocker-text-message

**** HOW TO DECRYPT FILES.TXT ****

If you’re seeing this file, then ALL your files have been BLOCKED with the most strongest CIPHER.
All your data – documents, photos, videos and backups – everything in BLOCKED.
The only way to recover your files – contact us via supercrypt@mailxx9.com
Only WE have program that can completely recover your FILES.

Attach to e-mail:
1. Text-file with your code (“HOW TO DECRYPT FILES.txt”)
2. One encrypted file (please dont send files bigger than 1 MB)

We will check your code from text file and send to you OUR CONDITIONS and your decrypted file as proof that we actually have decrypter.

Remember:
1. The faster you’ll CONTACT US – the faster you will RECOVER YOUR files.
2. We will ignore your e-mails without attached code from your “HOW TO DECRYPT FILES.txt”
3. If you haven’t received reply from us – try to contact us via public e-mail services such as Yahoo or so.

====================
5456E77B1044AA62B7756F9FB8B190C8ED4DCD9422C99C3E11C34D7FAD017D4C
3C6CA2D4FF854181DAA7C3457CC7A2BA9440F97D9EF8B8A2BD043A0E4DA7E83C
8327132A2E1166A9E34DBAAC315F52C8EAAF8A371FB89538CC90773B63A61A7A
FC73A1ED87A201AC616C2C7F2D633DF88AC64B1EEA1E41F0E30FC6F5A143950F
1B424441544352434841456D3FB6CF852F7F84D4E4ACA1E6D41E911FA934F28E
====================

**** HOW TO DECRYPT FILES.TXT ****

Insomma, preso dalla disperazione segue le indicazioni del documento .txt lasciato sullo schermo e nel giro di poche ore scopre che se rivuole indietro i propri files non deve fare altro che pagare mediante alcuni sistemi la bellezza di € 300,00.

Siamo stati quasi una giornata a cercare in rete soluzioni al problema : non ce ne sono ! Tutto cio’ che abbiamo trovato porta al pagamento del riscatto per riavere i dati …

Da quanto abbiamo potuto vedere vengono sfruttati buchi di sistema, in particolare chi ha pubblicato servizi RDP con macchine Windows (nel suo caso Windows 2003) e’ particolarmente vulnerabile. Non dimentichiamoci pero’ che eventuali banner pubblicitari possono attivare codice malevolo, allegati di email provenienti da sconosciuti (e non solo) possono essere veicolo di questa cosa devastante.

Tutti i files presenti nel computer (per circa un centinaio di estensioni diverse) vengono criptati in un tempo relativamente breve con una doppia chiave pubblica / privata a 1024 bit. In pratica non avete modo di decriptare i files se non avete la chiave privata, non ci sono modi se non avendo super computer a lavorare per un tempo non ben definito (forse anni).

Attenzione

Qualsiasi files presente su qualsiasi disco in condivisione viene criptato pertanto se avete un computer in rete con altri 100 computer e server che condividono cartelle e files ed avete diritti di scrittura questi verranno criptati.

Se pensate che il backup sul NAS possa salvarvi siete in errore, il NAS viene visto nella rete per poterci scrivere il backup pertanto verra’ criptato. Se pensate che i dati su Dropbox, OneDrive, Google Drive e servizi analoghi siano al sicuro sbagliate perche’ il software di sincronizzazione appena vedra’ il vostro file locale cambiato aggiornera’ la controparte online.

Addirittura abbiamo letto che quando si viene attaccati vengono cancellate anche le copie shadow sulla macchina quindi impossibile tornare indietro attraverso esse.

Tutto questo e’ allarmante e devastante dal punto di vista della sicurezza dei dati in particolar modo in ambito aziendale …

Come proteggersi ?

Sinceramente non abbiamo trovato nulla di definitivo, non vi sono soluzioni, l’unico modo per decriptare i files e’ avere il software e la chiave privata.

Al mio collega dopo pagato il riscatto e’ stato mandato un software con le istruzioni per avviare la procedura (dobbiamo ammettere che nel tutto sono stati estremamente fermi, freddi e professionali) ed ha funzionato perfettamente.

Ecco comunque alcuni accorgimenti indispensabili per non stare proprio allo scoperto :

  • Mantenere il sistema operativo e gli applicativi costantemente aggiornati attivando l’aggiornamento principalmente il sistema operativo.
  • Attivare un firewall (software o hardware) limitando le porte aperte alle indispensabili e possibilmente cambiare il numero standard la dove possibile.
  • Installare un buon antivirus e controllare costantemente che sia aggiornato.
  • Non aprire allegati e link sospetti sul web
  • Effettuare backup su dispositivi esterni staccati dal sistema / rete quando non utilizzati

Alcuni link interessanti

Invito chiunque abbia informazioni che possano aiutare a prevenire o curare questa minaccia a contribuire all’articolo commentando in basso.


Tags: /