Autore Topic: Cryptolocker  (Letto 1466 volte)

milux

  • Moderatore globale
  • Utente storico
  • *****
  • Post: 1779
    • 3MD
Cryptolocker
« il: 23 Febbraio, 2016, 09:13:58 »
Prendendo come riferimento questa notizia http://www.oggitreviso.it/dati-bloccati-con-virus-mail-trenta-aziende-ricattate-128930 e conoscendo personalmente alcune persone che sono state vittima di Cryptolocker, invito tutti a prestare la massima attenzione e prendere le opporture contromisure preventive.

Cos’è CryptoLocker?
 CryptoLocker è un virus messo in circolazione a settembre 2013 che si sta diffondendo a macchia d’olio.
 Quando il virus entra in funzione, inizia a crittografare i tuoi file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.
 Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin.
 Dopo il pagamento del riscatto inizia il processo di decriptazione dei file.
 Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c’è più nulla da fare.

Come si prende il virus CryptoLocker?
 
Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
 Ti capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica.
 Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft ( attualmente i Mac sono immuni ) di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
  Una volta cliccato, i tuoi file verranno criptati all’istante.


Personalmente ho ricevuto diverse di queste email che contenevano allegati con estesione ZIP o RAR. Sono molto ben confenzionate e contengono termini e parole che ci inducono ad aprire gli allegati senza fare nessun controllo.



Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
 Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

Misure Preventive :

Per chi ha un singolo PC è necessario munirsi di uno o più dischi esterni dove poter salvare i dati o eseguire dei backup regolari

Per chi ha più PC in rete sarebbe bene dotarsi di un NAS con i dischi in RAID dove salvare i dati o effettuare dei backup

Installare sul PC un proagramma che trovati qui della BIT Defender Lab  .  Nello specifico il programma impedisce l’avvio di file eseguibili nelle directory %appdata% e %startup% solitamente prese di mira da questa tipologia di virus.


**OS : Windows 7 - 63Bit (uno è andato perso e non lo trovo..) + W10
**Website X5 :  Evo 10(active) - Evo 11(active) - 13(active)
**Wysiwyg Web Builder 12 (passa al lato oscuro..)
**Hosting : LINUX
**Editor : Notepad ++ / Geany

Topografo

  • Utente esperto
  • ***
  • Post: 265
Re:Cryptolocker
« Risposta #1 il: 24 Ottobre, 2016, 07:00:54 »
Nel marzo 2016, essendo cambiati i modi di attacco del trojan, la bitdefender ha smesso di fornire il vaccino


Citazione
Cryptowall vaccine discontinued

[UPDATE] The main protection mechanism provided by the Cryptowall Vaccine relied on exploiting a programming flaw in the Cryptowall Trojan itself. The Cryptowall operators have modified the way they check whether a system has been infected or not, which renders the Cryptowall Vaccine ineffective in some cases.
Because we cannot guarantee the proper functioning of the vaccine anymore, we decided to discontinue providing the tool. Stay tuned for further updates.
Meanwhile, please consider implementing the measures delineated.
https://labs.bitdefender.com/2016/03/cryptowall-vaccine-discontinued/