Cybersecurity

L’evoluzione dei virus crittografici

23 Settembre 2014

Recentemente abbiamo assistito a un enorme cambiamento avvenuto nella famiglia dei ransomware crittografici.
Proviamo a fare luce su alcune delle varianti più recenti e sul cammino evolutivo che ha condotto il malware di alto profilo al punto in cui si trova oggi.

Per chi non sa cosa sia il ransomware crittografico, si tratta di un crittovirus che cifra tutti i dati residenti su hard disk, anche rimovibili, dischi condivisi di rete e storage USB.
La tecnica di cifratura si avvale di una chiave pubblica asimmetrica RSA-2048 senza la quale risulta impossibile eseguire la decifrazione.
Pagando il riscatto si ottiene la chiave, che a sua volta permette di recuperare i dati illecitamente criptati.
 

CryptoLocker
 
Nella prima evoluzione di quello che è conosciuto come “CryptoLocker” la chiave di cifratura risiedeva sul computer e la vittima, in seguito a un certo lavoro tecnico, era comunque in grado di recuperarla.
Nei vari forum specializzati erano disponibili tool che consentivano di inserire la chiave e decifrare quindi tutti i dati senza dover pagare alcun riscatto.
Nelle versioni successive gli autori del malware hanno fatto in modo che la chiave risiedesse su un server sicuro, così da costringere le vittime a pagare il riscatto.
Tuttavia il più delle volte il malware non cancellava VSS (Volume Shadow Service) e quindi gli utenti colpiti potevano ripristinare manualmente i file a una certa data mediante programmi come Shadow Explorer.

VSS, per chi non lo sapesse, è una funzione di ripristino integrata in XP SP2 e versioni successive di Windows.
Essenzialmente è una tecnologia che permette di eseguire copie di backup manuali o automatiche dei dati ed è associata alla funzione di ripristino del sistema. Nelle varianti più recenti di CryptoLocker, VSS viene quasi sempre cancellato al momento dell’installazione del malware. Gli autori offrono anche un periodo esteso di tempo entro il quale la vittima può recuperare i propri file una volta trascorsa la scadenza iniziale, ma l’importo del riscatto solitamente raddoppia o triplica.

CryptoDefense
Una delle più recenti varianti di un ransomware crittografico ribattezzato “CryptoDefense” non possiede più un’interfaccia grafica (GUI): al suo posto il malware apre semplicemente una pagina Web terminato il processo di cifratura e deposita un file di testo in ogni cartella cifrata.
Le istruzioni necessarie a ottenere la chiave per decifrare i file prevedono l’installazione di Tor o altri browser basati su layer crittografici in modo da pagare i cybercriminali in modo diretto e sicuro. Questo permette agli autori del malware di scavalcare una componente del circuito Zeus – gli intermediari che si occupano di trasferire il denaro tra i vari conti – e incrementare così la percentuale di profitto.
DirCrypt
Nella più recente evoluzione del ransomware crittografico, invece di selezionare i file a seconda della loro estensione, tutti i file vengono cifrati in documenti RTF con un’estensione *.enc.rtf.
Questo accorgimento rende la vittima del tutto ignara di quel che sta succedendo dal momento che a cifratura terminata non appare alcuna GUI né pagina Web a informare dell’accaduto: occorre invece aprire un documento per scoprire che è stato criptato.

Un grosso “miglioramento” particolarmente antipatico per le vittime è che la cifratura non è più un processo statico che avviene una tantum: questa variante ricerca attivamente e cifra qualunque file creato o modificato sui dischi.
Ce ne siamo accorti quando, eseguendo dei test su un campione di questo malware, ogni volta che cercavamo di salvare un’immagine dello schermo questa veniva immediatamente criptata.

Prevediamo che future varianti di ransomware includeranno queste tattiche man mano che la loro evoluzione prosegue.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (5)

A meno che non manchi un dettaglio nella descrizione della terza generazioni, appare chiara una variazione di scopi.
Le prime due generazioni hanno come finalità esplicita quella di ottenere denaro, mentre la terza sembra abbia come scopo quella di creare un danno, come se il prodotto fosse passato nella mani di coloro che attaccano per scalare le classifiche di hacking.

In ogni caso il fenomeno non promette nulla di buono.

Emilio Polenghi,

Il "pezzo" nasce da due chiacchiere con tecnici antivirus ben informati e sempre sul pezzo. Io credo che la terza via, alla fine, porterà in ogni caso alla richiesta di denaro.

Claudio Panerai,

Salve, a me è successo lo scorso luglio, ed ovviamente non ho pagato, ma non ho nemmeno formattato tutto, perchè non posso permettermi di perdere i tantissimi documenti, di cui solo una parte ho la copia. Ho ripulito in tutti i modi XP con successo, ma i file sono ancora bloccati con estensione .enc.rtf
Chi conosce un sistema per togliere la criptatura?

Andrea,

Grazie Polenghi, ho trovato la risposta molto dopo, non so perchè non ho ricevuto notifica della tua risposta, ma quando ho provato a collegarmi al sito https://www.decryptcryptolocker.com/ appare una pagina in inglese che informa che tale metodo è stato dismesso. Non ho capito bene cosa potrei fare ora, ma se le società FireEye e Fox-IT hanno salvato milioni di chiavi di cifratura, adesso a chi potrei chiedere di rintracciare la mia chiave?

Andrea,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.