Cryptolocker: informazioni, consigli e considerazioni

Cryptolocker screenshotIn questi giorni abbiamo assistito ad uno dei più violenti attacchi virali mai registrati in tempi recenti; come ormai è noto si tratta di Cryptolocker e la sua pandemia, oltre ad aver messo in crisi i sistemi di posta di mezzo mondo, ha eluso tutti i principali sistemi di protezione per arrivare ad infettare i computer di persone che invece di un rimborso si sono trovati davanti alla richiesta di un riscatto per riavere i propri files. Ma andiamo con ordine.

Crypto-che?

Cryptolocker è tecnicamente un Ransomware; tolta la definizione da entomologo, sostanzialmente è un virus che infetta il computer di chi esegue il file.

Una volta dentro, Cryptolocker agisce in maniera del tutto silenziosa. In primo luogo scansiona il computer locale e tutte le risorse di rete collegate in share, alla ricerca di determinati files. Tipicamente cerca documenti, fogli di calcolo, immagini ed eseguita la scansione si prepara a crittare i files depositando in un server remoto la chiave privata con la quale, in teoria, i files possono essere decrittati. Fatto questo si  aprono le danze.

Tutti i files precedentemente trovati vengono crittati, cartella per cartella, copiando all'interno di ogni livello un file di istruzioni in formato testuale contenenti le istruzioni per decrittare i files (e cioè il riscatto).

Ancora l'utente non si è accorto di nulla ma in poco tempo tutti i files trovati vengono crittati. In realtà sembra, in alcune versioni, che non proprio tutti i files vengano crittati ma, per motivi di programmazione (se non si trattasse di un virus si direbbe “per motivi tecnici”) solo i primi 1092 files scansionati, in ordine alfabetico e in base alla profondità delle cartelle di ricerca.

Finito il lavoro, arriva il momento in cui viene presentato il conto all'utente attraverso un Popup o una schermata sul browser dove, con dovizia di particolari, viene chiesto un riscatto in Bitcoin e altresì forniti i link dove acquistare tale valuta. A questo punto scatta in gioco il fattore tempo: se lo fai subito, dice il virus, lo paghi la metà, altrimenti dopo un tot di ore devi pagare il prezzo pieno per avere i tuoi files.

Per vedere il virus in azione qualcuno ha anche postato su Youtube un video dove ne viene ripreso il funzionamento di una delle tanti varianti presenti, infettando dal vivo una macchina (si spera) di test.

Come viaggia Cryptolocker?

Sostanzialmente in un allegato di una mail.

Ad un certo punto arriva una mail che prospetta una determinata situazione nella quale è richiesto l'intervento di un utente. Situazioni tipiche possono essere:

  • Un corriere che comunica la mancata spedizione un pacco in arrivo per un problema non meglio specificato (ma contenuto nell'allegato);

  • Una conferma di un ordine (in genere di importo rilevante);

  • Un rimborso di un ordine (in genere di importo rilevante);

  • Un sollecito di pagamento...

Ma la motivazione sta alla fantasia degli autori e quindi cambia caso per caso, così come cambia la tipologia del file allegato. Non a caso una chiave di successo nella propagazione virale è appunto la presenza di numerose varianti.

Attualmente sono stati rilevati due tipi di allegati:

  • Il finto pdf: è un file con sora di doppia estensione, ad esempio file.pdf.exe e il motivo non è casuale. Di norma i computer sono configurati per non mostrare l'estensione del file, che risulta riconoscibile all'utente semplicemente dall'icona. Con l'estensione nascosta il file sopra menzionato verrà visualizzato come file.pdf e se a questo aggiungiamo un'icona simil-pdf ecco che l'utente sarà portato a pensare che di fronte ha un innocuo pdf.
    In questo il trucco si svela con un colpo di tasto destro (non sinistro) del mouse per visualizzarne le proprietà tra cui, appunto, il vero nome del file.

  • Il file strano ma che si esegue. Di recente ha impazzato un file .cab che è un formato di compressione nativo di windows al cui interno è presente la sorpresa.

  • Un link ad un sito: in questo caso la mail non presenta allegati, ma un link verso un sito che si spaccia essere del correre/azienda/banca mittente del messaggio. Nel sito poi ci sarà il pacco sorpresa, ma in questi casi per smascherare l'inganno è sufficiente guardare con attenzione l'indirizzo verso il quale si sta per essere traghettati che nulla (o ben poco) ha a che vedere con l'indirizzo ufficiale, ma spesso viene mascherato per renderlo appetibile. Facciamo un esempio: riceviamo una mail da una sedicente banca di nome, per dire, Fuffas. L'indirizzo al quale ci rimanda può essere del tutto o parzialmente estraneo e cioè per esempio potrebbe essere http://fuffas.altervista.org oppure http://www.sito.ru/fuffas che è molto differente da quello che potrebbe essere l'indirizzo ufficiale dell'istituto Fuffas http://www.fuffas.it

Come è possibile che mi arrivi un virus per email?

La domanda è lecita: su ogni mailserver che si rispetti (e oggi giorno è equipaggiato ovunque) è infatti installato un antivirus che scansiona la posta in transito. Il funzionamento però è del tutto simile a quello installato sui nostri computer, ovvero l'antivirus per poter eliminare una mail infetta deve riconoscere l'allegato come tale e per poterlo fare le sue definizioni devono contenere quel particolare caso, o comunque la famiglia di infezione. Se ciò non avviene, così come sul computer locale, anche il mailserver passa la mail presumendola buona e la mail arriva. Localmente il discorso non cambia, se l'antivirus contiene tra le sue definizioni quel virus ne impedisce l'esecuzione, altrimenti no.

Ora, Cryptolocker non è certo una novità, al punto che l'ultima ondata nota era di poche settimane fa ma ha avuto molta meno eco per via del fatto che chi aveva un buon antivirus (ed erano pochissimi quelli aggiornati al momento del botto) era salvo, gli altri un po' meno.

A questo giro, ed è il motivo per cui è esploso il pandemonio, nessun antivirus risultava ancora pronto nelle prime fasi della pandemia, poiché l'infezione ha girato nella rete ad una velocità talmente elevata da non permettere agli antivirus di rispondere in tempo utile ed inoltre, e questo è un altro fattore di novità, sono girate diverse varianti in sequenza tale tale da rendere già obsoleta una definizione appena uscita.

Come posso capire, nel marasma quotidiano, se una mail va aperta o no?

Considerando il fatto che spesso un antivirus gratuito rappresenti già un buon prodotto (ivi incluso quello fornito nativamente in Windows da Microsoft) per l'utente medio, c'è da dire che alla prima ondata ben pochi erano gli antivirus che hanno parato il colpo. La seconda ondata, quella di questi giorni ha in effetti spiazzato tutti ma il punto è che ad un certo punto chiunque si deve porre la seguente domanda: il valore di quello che posso perdere (incluso eventualmente il tempo perso a recuperare il backup) è inferiore/uguale/superiore al costo annuale di un antivirus professionale?

Dopodiché, nel dubbio di aprire o meno una mail, è sempre bene mantenere il profilo di cautela prima di prendere qualsiasi decisione, ovvero fermarsi a riflettere un secondo ponendosi qualche domanda. Io lavoro con questo fornitore? Ho effettuato un ordine da costui? Avrei potuto ordinare questa roba? La mail è scritta in italiano o sembra piuttosto una traduzione automatica?

In genere la presa di queste mail è una condizione di stress tale per cui l'utente sia portato ad agire di impeto. Un sollecito di pagamento da undici mila euro, per esempio, farebbe saltare dalla sedia qualsiasi persona normale.

La banca che comunica una scopertura del conto e “per maggiori informazioni cliccare qui” sulle prime metterebbe ansia a chiunque, ma fermiamoci a chiedere se veramente una banca manderebbe una mail per una comunicazione del genere. Ovviamente no: il progresso per chi lavora in banca si è fermato ai tempi di Meucci, quindi...

Quando non è un ente esterno, alle volte il problema arriva addirittura da un contatto conosciuto, se non un amico e, anche questo è spiazzante. Anche qui il fattore di risposta precoce gioca a sfavore perché se ci fermassimo un secondo a riflettere, scopriremmo magari che la mail è stata mandata a più persone, che magari è scritta in un italiano zoppicante o comunque non nello stile di Tizio e tante piccole sfumature che sul momento non hanno peso.

Pertanto un buon antivirus è la base per una vita tranquilla ma il miglior antivirus al mondo, come sempre, è la testa.

Si ok, come faccio a sapere se un file è infetto o meno?

Nel dubbio puoi usare un tool online per fare il lavoro sporco. Quindi con la delicatezza del caso prendi il file e salvalo sul tuo desktop. Se il tuo antivirus non dice nulla non significa necessariamente che sia una buona notizia.

Dopodiché puoi cercare un tool online (per sempio https://www.virustotal.com/it/) dove caricare il file e vedere lui che ne pensa. Il portale è collegato con tutti gli antivirus principali presenti sul mercato, se anche uno di loro da esito positivo io, quel file, non lo aprirei.

Se il test è negativo ma non sei convinto perché la mail non ha senso, nel dubbio, cestina tutto. Al massimo puoi dire che quella mail non l'hai ricevuta. Del resto chi, ente terzo a cui non ho mai scritto,  manda un sollecito di pagamento su una mail diversa dalla PEC?

Alla peggio chiedi ad un tecnico PRIMA di aprire il file.

Ok, ho preso Cryptolocker. Pago non pago?

I soldi sono i tuoi, la scelta pure. Se hai un backup di quello che hai perso mettilo in cassaforte e disinfesta il pc.

Se hai perso tutto e non c'è rimedio io, fosse il mio computer, difficilmente pagherei. Ma ovviamente è una mia opinione.

Il primo problema sono i Bitcoin, la valuta virtuale usata per riscatto. E' una moneta elettronica ma è talmente una cosa da nerd che il suo valore oscilla sensibilmente nell'arco della giornata.

Inoltre, in genere, il primo passo è quello di acquistare Bitcoin e per farlo bisogna affidarsi ad intermediari. Visto il tempo stretto che vi separa dal pagamento della quota doppia, dovrete usare mezzi di fortuna e quindi trovarvi a fare ricariche su prepagate che, credetemi, i tabaccai si rifiuteranno di fare.

Comunque questa scelta è vostra.

C'è anche una news sul fatto che siano stati scoperti alcuni algoritmi di crittazione e quindi determinati siti si offrano di analizzare i vostri files per fornire, gratuitamente, la chiave di decrittazione. Nel caso che ho seguito personalmente questa ricerca non è andata a buon fine e la mia sensazione è che gli algoritmi decrittati siano ormai obsoleti.
Uno tra tanti è https://www.decryptcryptolocker.com/ e un tentativo vale la pena farlo.

E comunque ricordate un vecchio motto dei nerd: un backup, di suo, non sembra avere alcun valore; è il restore che fa la differenza.