TorrentLocker nuovi virus con riscatto

Dopo diversi attacchi cracker ai nostri computer che richiedevano il riscatto per i dati criptati, ecco una nuova versione: ancor piu' letale ed insuperabile.

Di nuovo una grave minaccia ai nostri dati: questa volta ancor più letale e senza possibilità di “antidoto” in caso di attacco. Mesi scorsi avevamo parlato del celeberrimo Cryptolocker il virus del riscatto, ora nuovi virus crittografici, ancor più potenti e letali sono stati immessi in rete ed il rischio che si corre è notevolmente aumentato.

Il nuovo virus si presenta come Cryptolocker

Il tentativo di attacco 2.0 informa il malcapitato d'essere stato infettato da Cryptolocker, ma in realtà non è così. I cracker ingannano ulteriormente l'utente, perchè in realtà è una nuova versione di virus, chiamato “TorrentLocker” seconda versione.
Mesi fa una società di sicurezza olandese era riuscita a creare dei veri e propri antidoti per decrittare i propri dati, il tutto accedibile all'indirizzo www.decryptlocker.com in modo gratuito. Un sistema di decifratura gratuito garantiva all'utente la possibilità di riappropriarsi dei file senza pagare. I pirati però hanno sviluppato una nuova versione, indecifrabile, e continuano a chiamarla come la vecchia versione per confondere gli utenti.

Ci siamo fatti infettare da Torrentlocker per studiarlo

Questo tipo di virus va soprattutto a caccia di enti o società commerciali, in pratica aziende pubbliche o private dove la conservazione dei dati è fondamentale. Da un nostro precedente articolo sappiamo bene che ci sono gravi falle di sicurezza negli enti pubblici.

Torrentlocker si diffonde principalmente con una email ingannevole: una fattura, una bolletta o un contratto da onorare. Il link inserito nel messaggio sembra un normale documento con estensione .Pdf, ma in realtà è un programmino eseguibile con estensione .exe nascosto dalla lunga fila di caratteri o anche da un rigo che escono dalla schermata del Pc.
Ad esempio potrebbe essere così: “Fattura da pagare.Pdf_____________________________________________.exe.

Altra caratteristica letale ed ingannevole: i messaggi sono nella lingua del Paese della vittima e sono scritti correttamente. Sembra proprio che un'altra azienda vi chieda di pagare delle fatture insolute ed aprendo il documento allegato ci si infetta in pochi istanti.
Il virus crittografico ha colpito pesantemente nei seguenti paesi: Italia, Australia, Turchia, Francia, Germania, Regno Unito, Irlanda, Olanda, Spagna, Austria, Repubblica Ceca, Turchia, Nuova Zelanda. In passato noi stessi abbiamo già ricevuto diverse email contenenti il virus poichè il nostro indirizzo è pubblico.

Il software agisce rapidamente e silenziosamente, una volta cliccato sull'eseguibile. Comparirà anche una richiesta di esecuzione come Amministratore: ma già allora sarà troppo tardi, tutti i vostri documenti saranno stati convertiti in versioni codificate ed illeggibili. Ecco che allora apparirà questa malefica schermata sul vostro Pc.

 

 

Contemporaneamente il virus cercherà un eventuale programma di posta elettronica installato sul vostro Pc per impossessarsi della rubrica e spedire il virus a tutte le aziende o conoscenti a voi collegati. I riceventi, vedendo una vostra email, potrebbero essere facilmente ingannati. Immaginiamo un comune che inavvertitamente invia file con fatture in finti Pdf ad altri enti o aziende private, il pericolo che gli allegati vengano aperti è altissimo.

I documenti non sono cancellati ma criptati

Come per i precedenti virus che richiedono un riscatto, tutti i file vengono rinominati. Ad esempio documento.doc viene rinominato in documento.doc.encrypted e se cercherete di aprirlo vi apparirà un messaggio di errore.
Tutti i vostri dati saranno crittografati, Windows continuerà a funzionare, il sistema operativo girerà come al solito, ma documenti, foto, immagini, filmati, tutti i file saranno inutilizzabili.

Attenzione ai Pc collegati in rete

Abbiamo verificato con certezza che il virus si propaga facilmente nella rete interna tramite le condivisioni di rete. Può addirittura arrivare anche ai server di condivisione file se non sono stati configurati a dovere da un esperto informatico, insomma un autentico disastro. Un attacco del genere blocca completamente ogni attività lavorativa.

In ogni directory apparirà una pagina, in formato .html, dal nome “DECRYPT_INSTRUCTIONS“, in pratica le informazioni per decifrare i dati.
Nella pagina è indicato il sito a cui accedere per avere le chiavi di cifratura e riportare alla normalità i propri dati presi in ostaggio.
Per accedere al sito dei criminali informatici occorrerà installare il software TOR poichè queste pagine web non sono raggiungibili tramite le consuete modalità di navigazione in Internet.
Una volta aperto il sito apparirà una immagine come riportata sotto.

 

 

 

Il messaggio è chiaro: avremo 3 giorni di tempo per pagare 400 euro in valuta BitCoin, trascorso il perentorio termine il riscatto raddoppierà. Per chi non conoscesse questa moneta virtuale ecco un nostro articolo: cosa sono i BitCoin.

I malfattori, per dimostrarci che sono in grado di restituirci i dati, forniscono un link dove inserire l'indirizzo di un file residente sul nostro Pc (non superiore ad 1 Mbyte) per decriptare il file. In effetti la dimostrazione garantisce che sono in possesso delle chiavi giuste.

Il nuovo TorrentLocker è invalicabile

Abbiamo tentato di “sbloccare” i nostri file di test con le modalità e gli indirizzi riportati sopra, ma non c'è stato nulla da fare. Questa nuova versione contiene un codice crittografico senza falle, naturalmente noi non abbiamo pagato, ma solo cedendo al ricatto si ottiene un programmino denominato “Dercyption_Software.rar” che decompresso ed avviato sul nostro Pc infetto avvierà l'operazione di decifratura di tutti i nostri documenti criptati dai cracker. Potrebbero occorrere anche delle ore se i documenti sono molti.
Il costoso software funzionerà solo sul nostro Pc o rete privata, ogni infezione ha chiavi di cifrature diverse.

Un incasso di oltre 30 milioni di dollari

Non è possibile risalire a chi incassa i BitCoin, ma è possibile monitorare il movimento di denaro verso i conti aperti che servono per i riscatti. Nell'estate 2014 sono stati registrati movimenti per oltre 30 milioni di dollari, e di solito, i criminali informatici mantengono la parola fornendo gli strumenti adatti per riaprire i documenti: d'altronde se non fosse così la notizia si diffonderebbe rapidamente e nessun ente pubblico o privato pagherebbe più. Questa enorme mole di denaro fa comprendere quanto vasto sia stato l'attacco.

Aggiornamento del 30 Gennaio 2015

Attenzione: i file in allegato possono essere anche in formato .cab. Quindi, in questo caso non apparirebbe neanche l'estensione .exe, ma effettuando un clic su questo tipo di file tipo” fattura.cab” farebbe partire immediatamente l'esecuzione del virus. I file in formato .cab sono formati compresse che possono nascondere di tutto.

La difesa conto il nuovo Torrentlocker

Appurato il fatto che non si dovrebbero mai aprire allegati sospetti o seguire i link indicati nelle email, occorre dire che antivirus (anche free) come Avast o AVG hanno aggiornato i loro database anche contro questo tipo di virus. Tenete presente, però, che i criminali informatici cambiano continuamente le caratteristiche dei virus per sfuggire all'identificazione da parte dei software di sicurezza.

Altro consiglio sempre buono sarebbe quello di isolare dalla rete interna il Pc collegato ad Internet, questo ovviamente è possibile nelle piccole organizzazioni.

Considerate con attenzione i nostri link, come ad esempio programmi gratuiti di backup su memorie esterne (tipo Usb) dei dati più importanti o addirittura clonare il disco rigido (link) almeno una volta la settimana (se usate parecchio il vostro Pc). I backup non dovranno mai essere nella vostra rete interna, o al limite, crittografati da voi con una password robusta.

Gli amministratori di sistema (avete un buon amministratore nella vostra azienda o ente?) possono impostare delle regole per bloccare file esterni prima ancora che vengano scaricati o analizzati dagli antivirus.
In rete si trovano (basta cercare con Google) i valori hash da inserire nelle blacklist, cioè una lista di software da non ammettere all'esecuzione. Il problema è che oggigiorno si risparmia anche sulla sicurezza informatica e solo grandi enti privati hanno esperti addestrati al trattamento sicuro dei dati informatici.

 

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.