{"id":11798,"date":"2015-01-05T10:30:14","date_gmt":"2015-01-05T09:30:14","guid":{"rendered":"http:\/\/www.defaultuser.net\/?p=11798"},"modified":"2015-01-04T00:11:34","modified_gmt":"2015-01-03T23:11:34","slug":"cryptolocker-riscatto-informatico","status":"publish","type":"post","link":"https:\/\/www.defaultuser.net\/?p=11798","title":{"rendered":"Cryptolocker : riscatto informatico …"},"content":{"rendered":"

\"hard-disk-locked\"<\/p>\n

foto credit : succo<\/a><\/p>\n

Che tristezza, ad un mio amico strettissimo nonche’ collaboratore in azienda e’ successa una\u00a0cosa tremenda : e’ stato vittima di un ransomware<\/a> un crimine informatico bell’e’ buono.<\/p>\n

In pratica e’ stato violato il suo server domestico pieno zeppo di fotografie e filmati di parenti, amici, momenti di vita e tanti, tanti bellissimi paesaggi essendo un appassionato di fotografia …<\/p>\n

Andiamo per ordine<\/strong><\/p>\n

Il mio collega la mattina accede al proprio server e si ritrova con un documento sul desktop che lo invita a contattare via email colui che gli ha criptato tutti i files.<\/p>\n

Stupefatto ha prima cercato di aprire i files tutti con estensione .CRYPTOLOCKER, poi provato a cambiare estensione ma vedendo che non si aprivano ha iniziato a cercare in rete per scoprire che il solo sistema per decriptare i suoi files e’ avere la seconda parte della chiave di criptazione che pero’ e’ in mano ai malviventi.<\/p>\n

\"cryptolocker-text-message\"<\/p>\n

**** HOW TO DECRYPT FILES.TXT ****<\/p>\n

If you’re seeing this file, then ALL your files have been BLOCKED with the most strongest CIPHER.
\nAll your data – documents, photos, videos and backups – everything in BLOCKED.
\nThe only way to recover your files – contact us via supercrypt@mailxx9.com
\nOnly WE have program that can completely recover your FILES.<\/p>\n

Attach to e-mail:
\n1. Text-file with your code (“HOW TO DECRYPT FILES.txt”)
\n2. One encrypted file (please dont send files bigger than 1 MB)<\/p>\n

We will check your code from text file and send to you OUR CONDITIONS and your decrypted file as proof that we actually have decrypter.<\/p>\n

Remember:
\n1. The faster you’ll CONTACT US – the faster you will RECOVER YOUR files.
\n2. We will ignore your e-mails without attached code from your “HOW TO DECRYPT FILES.txt”
\n3. If you haven’t received reply from us – try to contact us via public e-mail services such as Yahoo or so.<\/p>\n

====================
\n5456E77B1044AA62B7756F9FB8B190C8ED4DCD9422C99C3E11C34D7FAD017D4C
\n3C6CA2D4FF854181DAA7C3457CC7A2BA9440F97D9EF8B8A2BD043A0E4DA7E83C
\n8327132A2E1166A9E34DBAAC315F52C8EAAF8A371FB89538CC90773B63A61A7A
\nFC73A1ED87A201AC616C2C7F2D633DF88AC64B1EEA1E41F0E30FC6F5A143950F
\n1B424441544352434841456D3FB6CF852F7F84D4E4ACA1E6D41E911FA934F28E
\n====================<\/p>\n

**** HOW TO DECRYPT FILES.TXT ****<\/p>\n

Insomma, preso dalla disperazione segue le indicazioni del documento .txt lasciato sullo schermo e nel giro di poche ore scopre che se rivuole indietro i propri files non deve fare altro che pagare mediante alcuni sistemi la bellezza di \u20ac 300,00.<\/p>\n

Siamo stati quasi una giornata a cercare in rete soluzioni al problema : non ce ne sono ! Tutto cio’ che abbiamo trovato porta al pagamento del riscatto per riavere i dati …<\/strong><\/p>\n

Da quanto abbiamo potuto vedere vengono sfruttati buchi di sistema, in particolare chi ha pubblicato servizi RDP con macchine Windows (nel suo caso\u00a0Windows 2003) e’ particolarmente vulnerabile. Non dimentichiamoci pero’ che eventuali banner pubblicitari possono attivare codice malevolo,\u00a0allegati di email provenienti da sconosciuti (e non solo) possono essere veicolo di questa cosa devastante.<\/p>\n

Tutti i files presenti nel computer (per circa un centinaio di estensioni diverse) vengono criptati in un tempo relativamente breve con una doppia chiave pubblica \/\u00a0privata a 1024 bit. In pratica non avete modo di decriptare i files se non avete la chiave privata, non ci sono modi se non avendo super computer a lavorare per un tempo non ben definito (forse anni).<\/p>\n

Attenzione<\/h2>\n

Qualsiasi files presente su qualsiasi disco in condivisione viene criptato pertanto se avete un computer in rete con altri 100 computer e server che condividono cartelle e files ed avete diritti di scrittura questi verranno criptati.<\/p>\n

Se pensate che il backup sul NAS possa salvarvi siete in errore, il\u00a0NAS viene visto nella rete per poterci scrivere il backup pertanto verra’ criptato. Se pensate che i dati su Dropbox, OneDrive, Google Drive e servizi analoghi siano al sicuro sbagliate perche’ il software di sincronizzazione appena vedra’ il vostro file locale cambiato aggiornera’ la controparte online.<\/p>\n

Addirittura abbiamo letto che quando si viene attaccati vengono cancellate anche le copie shadow sulla macchina quindi impossibile tornare indietro attraverso esse.<\/p>\n

Tutto questo e’ allarmante e devastante dal punto di vista della sicurezza dei dati in particolar modo in ambito aziendale …<\/p>\n

Come proteggersi\u00a0?<\/h2>\n

Sinceramente non abbiamo trovato nulla di definitivo, non vi sono soluzioni, l’unico modo per decriptare i files e’ avere il software e la chiave privata.<\/p>\n

Al mio collega\u00a0dopo pagato il riscatto e’ stato mandato un software con le istruzioni per avviare la procedura\u00a0(dobbiamo ammettere che nel tutto sono stati estremamente fermi, freddi e professionali) ed ha funzionato perfettamente.<\/p>\n

Ecco comunque alcuni accorgimenti indispensabili per non stare proprio allo scoperto :<\/p>\n