Cybersecurity

Un vaccino per il ransomware Locky

29 Marzo 2016

Come per i virus biologici, anche per i virus informatici è disponibile in alcuni casi un vaccino.
Così come per la controparte medica, il vaccino informatico è una misura preventiva che permette di mitigare o annullare gli effetti nefasti di un’infezione. In pratica, si tratta di una modifica al sistema che in qualche modo rende meno pericoloso o del tutto inoffensivo il payload del virus.

Ad esempio, il vaccino per il virus Conficker consisteva nel cambiare la policy di esecuzione automatica delle chiavette USB, rendendo innocuo il virus che si propagava proprio attraverso chiavette infette.


Nel caso del ransomware Locky, virus che cripta i file anche su share di rete non mappati (diffuso a febbraio 2016), il vaccino deriva da un bug nel codice: l’infezione infatti crea uno specifico valore di registro, ma, – se per qualunque motivo questa creazione fallisce, – il programma si blocca senza nemmeno iniziare le operazioni di crittatura.

Creando già la chiave di registro e togliendo i permessi di modifica, il payload virale non riesce ad accedere ad essa, e quindi il programma termina.
La chiave di registro in questione è:
HKCUSoftwareLocky

Qui l’analisi completa del comportamento del virus.

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (2)
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Tullio Cozza
Tullio Cozza
6 anni fa
Furio Borsi
Furio Borsi
6 anni fa

Grazie del contributo, Tullio!

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative