CryptoLocker: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 21:52, 11 dic 2014 modifica 79.44.85.164 (discussione) →Conseguenze ← Differenza precedente		Versione attuale delle 07:04, 5 dic 2024 modifica annulla Antox27 (discussione \| contributi) 861 modifiche Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(61 versioni intermedie di 41 utenti non mostrate)
Riga 1: ~~{{O\|software\|mese=agosto 2014}}~~ {{F\|software\|novembre 2013}} '''CryptoLocker''' è un cavallo di troia comparso nel tardo [[2013]]. Esso è una forma di [[Ransomware]] infettante sistemi [[Windows]], consiste nel criptare i dati della vittima e richiedere un pagamento per la decrittazione. [[Symantec]] stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l'attaccante ma di non aver visto i propri file decifrati.▼ '''CryptoLocker''' è un trojan comparso nel tardo [[2013]], perfezionato poi nel maggio [[2017]]. Questo malware è una forma di [[ransomware]] infettante i sistemi [[Windows]] e che consiste nel criptare i dati della vittima, richiedendo un pagamento per la decriptazione.<ref name="cybe_Cryp">{{Cita web \|titolo=CryptoLocker, cos'è, come si prende e come difendersi \|accesso=20 maggio 2020 \|url= https://www.cybersecurity360.it/nuove-minacce/cryptolocker-cose-come-si-prende-e-come-difendersi/ \|lingua=it }}</ref> ==Funzionamento==▼ ▲[[Symantec]] stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato ~~l'attaccante~~il riscatto ma di non aver visto i propri file ~~decifrati~~decriptati. CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una [[botnet]]. Un file [[ZIP]] allegato alla e-mail contiene un file eseguibile con una icona e una estensione [[Portable Document Format\|pdf]], avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). ▼ ▲== Funzionamento == ▲CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una [[botnet]]. Un file [[ZIP (formato di file)\|ZIP]] allegato alla e-mail contiene un [[file eseguibile]] con una icona e una estensione [[Portable Document Format\|pdf]], avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il [[Trojan (informatica)\|Trojan]] Zeus, che a sua volta, installa CryptoLocker. Al primo avvio, il software si installa nella cartella ''Documents and Settings'' (o "~~Users~~Utenti", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo,. ~~una~~Una volta connesso il [[server]] genera una chiave [[RSA (crittografia)\|RSA]] a 2048 bit, e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un [[proxy]] locale e passare per altri, ~~rilocandosi~~ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il [[malware]] quindi inizia a cifrare i file del [[disco rigido]] e delle condivisioni di rete mappate localmente con la [[chiave pubblica]], ~~e salva~~salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: [[Microsoft Office]], [[Open document]] e altri documenti, immagini e file di [[Autocad]]. Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un [[voucher]] anonimo e prepagato (es. [[MoneyPak]] o [[Ukash]]), o 0.5 [[Bitcoin]] per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la [[chiave privata]] viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata. == Conseguenze == Anche se CryptoLocker venisse rimosso subito, i file rimangono cifrati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l'unico modo per recuperare i file di cui non si disponga di un [[backup]] non compromesso. Un buon backup, come ad esempio il servizio di "100 backup", permette il ripristino dei file senza nessuna perdita del dato in quanto immune dall'attacco.▼ ▲Anche se CryptoLocker venisse rimosso subito, i file ~~rimangono~~rimarrebbero ~~cifrati~~criptati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l'unico modo per recuperare i file di cui non si disponga di un [[backup]] non compromesso~~. Un buon backup, come ad esempio il servizio di "100 backup", permette il ripristino dei file senza nessuna perdita del dato in quanto immune dall'attacco~~. Nel novembre [[2013]], gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l'invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l'utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ai primi di novembre 2013 valgono circa 3500 USD)▼ ▲Nel novembre [[2013]], gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e che permette di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l'invio di un file criptato al server come campione, ela ~~attendere che il sito trovi una~~cui corrispondenza, ~~che~~sia ilverificabile ~~sito~~nell'arco ~~promette~~delle ~~richiedere~~successive 24 ore. Una volta trovata la chiave l'utente ~~può~~potrà comprarla online, senelle lesuccessive 72 ore ~~scadono~~, alla cui scadenza il costo ~~aumenta~~verrà aumentato a 10 bitcoin (che ai primi di novembre 2013 ~~valgono~~valevano circa 3500 USD) == Mitigazione del danno == Nonostante le suite di sicurezza siano progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus viene distribuita. Se un attacco è sospettato o è ai primi stadi, poiché è necessario un po' di tempo perché sia completata la cifratura, la rimozione immediata del malware (un procedimento relativamente semplice) prima del completamento della cifratura può significativamente ridurre la perdita di dati. Gli esperti consigliano di prendere misure preventive come usare programmi o politiche di sicurezza che impediscano che CryptoLocker sia lanciato.▼ ▲~~Nonostante~~A dispetto del fatto che le suite di sicurezza siano progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto, o lo sia solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus ~~viene~~venga distribuita. Se si sospetta un attacco ~~è sospettato~~ o questo è ai primi stadi, poiché è necessario un po' di tempo perché sia completata la cifratura, la rimozione immediata del malware (un procedimento relativamente semplice) prima del completamento della suddetta cifratura può significativamente ridurre la perdita di dati. Gli esperti consigliano di prendere misure preventive, come usare programmi o politiche di sicurezza che impediscano ~~che~~a CryptoLocker ~~sia~~d'essere ~~lanciato~~avviato. A causa della natura delle operazioni di CryptoLocker, alcuni esperti, riluttantemente, suggeriscono che pagare sia l'unico modo per riavere i file in assenza di backup (particolarmente backup offline inaccessibili da rete, o con la protezione continua dei dati di Windows 'windows shadow copy'. A causa della lunghezza della chiave utilizzata, si considera praticamente inviolabile con un attacco a forza bruta per ottenere la chiave richiesta per la decifratura dei file senza pagare. Il [[worm]] simile del 2008 Gpcode.AK usava una chiave a 1024 bit considerata abbastanza grande da essere computazionalemente indistruttibile senza uno sforzo distribuito e organizzato, o la scoperta di un 'flaw' utilizzabile per decifrare. Nel tardo ottobre 2013 [[Kaspersky Labs]] ha riportato che un DNS Sinkhole è stato creato per bloccare alcuni dei domini di CryptoLocker. A causa della natura delle operazioni di CryptoLocker, alcuni esperti, sebbene con riluttanza, affermano che pagare sia l'unico modo per riavere i file, in assenza di un backup di ricostruzione (particolarmente un backup offline inaccessibile da rete, o la protezione continua dei dati di Windows 'windows shadow copy'). A causa della lunghezza della chiave utilizzata, si considera praticamente inefficace un attacco a forza bruta per ottenere, senza pagare, quella necessaria alla decifratura dei file. Il [[worm]] è simile al 2008 Gpcode.AK, che usava una chiave a 1024 bit, considerata abbastanza grande da risultare indistruttibile senza uno sforzo organizzato e distribuito, o senza la scoperta di un 'flaw' utilizzabile per decifrarla. Nel tardo ottobre 2013 [[Kaspersky\|Kaspersky Labs]] ha riportato che un DNS Sinkhole è stato creato per bloccare alcuni dei domini di CryptoLocker. == Prevenzione == Uno dei sistemi di prevenzione più efficaci è impedire l'esecuzione di programmi all'interno della cartella ''AppData''. Questa cartella è presente in tutti i sistemi e la sua posizione dipende dalla versione di Windows utilizzata, può trovarsi dentro ''Documents and Settings'' (o "''Utenti''", nei sistemi operativi Windows più recenti). Per effettuare questa modifica è necessario aggiungere le restrizioni nei ''Criteri di sicurezza locali'' presenti nel pannello di controllo. Ad esempio, per i sistemi [[Windows Vista]] o superiori si può utilizzare il seguente elenco di regole: {\| class="wikitable" !Path !Security Level !Suggested Description \|- !%AppData%\.exe \|Disallowed \|Previene l'esecuzione dei programmi in AppData \|- !%AppData%\\.exe \|Disallowed \|Previene l'esecuzione dei programmi nelle sottocartelle di AppData \|- !%LocalAppData%\Temp\Rar\.exe \|Disallowed \|Previene l'esecuzione di programmi estratti automaticamente da file compressi di tipo Rar scaricati tramite e-mail \|- !%LocalAppData%\Temp\7z\.exe \|Disallowed \|Previene l'esecuzione di programmi estratti automaticamente da file compressi di tipo 7z scaricati tramite e-mail \|- !%LocalAppData%\Temp\wz\.exe \|Disallowed \|Previene l'esecuzione di programmi estratti automaticamente da file compressi di tipo wz scaricati tramite e-mail \|- !%LocalAppData%\Temp\.zip\.exe \|Disallowed \|Previene l'esecuzione di programmi estratti automaticamente da file compressi di tipo zip scaricati tramite e-mail \|} Inoltre, con lo scopo di prevenire questo virus, valgono le normali regole di prevenzione per [[Malware]], ad esempio: * Effettuare backup periodici su dischi esterni. * Evitare l'utilizzo di cartelle condivise in reti pubbliche. * Visualizzare l'estensione dei file all'interno di Esplora Risorse. * Verificare l'host dei link prima del click dal browser. * Non eseguire allegati di e-mail sospette. == Note == <references/> ==Voci correlate== * [[Operazione Tovar]] == Collegamenti esterni == {{Cita web\|url=http://tools.cisco.com/security/center/viewThreatOutbreakAlert.x?alertId=31226 \|titolo=Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013 \|data=2013-10-14 \|sito=[http://cisco.com/security Cisco Security Intelligence Operations Portal] \|editore=[[Cisco Systems]] \|città=San Jose, CA, USA \|accesso=2013-10-30}}▼ {{Cita web\|url=http://omnispear.com/tools/cryptolocker-scan-tool \|titolo=CryptoLocker Scan Tool}}▼ * [http://migliorhosting.biz/2014/10/cryptolocker-estorsioni-online-e-file-criptati-come-difendersi/ Approfondimenti sul tema CryptoLocker e ransomware] ▲* {{Cita web\|url=~~http~~https://tools.cisco.com/security/center/viewThreatOutbreakAlert.x?alertId=31226 \|titolo=Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013 \|data=2013-10-14 \|sito=[~~http~~https://cisco.com/security Cisco Security Intelligence Operations Portal] \|editore=[[Cisco Systems]] \|città=San Jose, CA, USA \|accesso=2013-10-30}} {{portale\|informatica}}▼ ▲* {{Cita web\|url=http://omnispear.com/tools/cryptolocker-scan-tool \|titolo=CryptoLocker Scan Tool}} * {{cita web \| 1 = http://migliorhosting.biz/2014/10/cryptolocker-estorsioni-online-e-file-criptati-come-difendersi/ \| 2 = Approfondimenti sul tema CryptoLocker e ransomware \| accesso = 31 ottobre 2014 \| dataarchivio = 4 novembre 2014 \| urlarchivio = https://web.archive.org/web/20141104010615/http://migliorhosting.biz/2014/10/cryptolocker-estorsioni-online-e-file-criptati-come-difendersi/ \| urlmorto = sì }} * {{cita web\|http://www.max89x.it/virus-cryptolocker-cose-come-evitarlo-e-decriptare-i-file/\|Virus Cryptolocker: cos’è, come evitarlo e decriptare i file}} * {{cita web \|url=https://www.computerworld.com/article/2485214/microsoft-windows/cryptolocker-how-to-avoid-getting-infected-and-what-to-do-if-you-are.html \|titolo=Cryptolocker: How to avoid getting infected and what to do if you are \|sito=[[Computerworld (blog)\|Computerworld]] \|lingua=en}} ▲{{portale\|sicurezza informatica}} [[Categoria:~~Software~~Virus ~~malevoli~~crittografici]]