Nuova ondata di email virus: ransomware e il virus Cryptolocker

Giunge via email, con testo credibile e allegato CAB: è il virus ransomware, nella variante Cryptolocker. Ecco come funziona

Una nuova minaccia sta intaccando la sicurezza dei PC e dei dispositivi mobile di mezzo pianeta e, come spesso accade, la diffusione avviene via email, attraverso un virus di tipo ransomware, nella variante Cryptolocker o CTB Locker (il virus colpisce solo il sistema operativo Windows).

Che l’infenzione stia colpendo account di ogni entità è palese da quanto sta accadendo alle caselle di posta dei comuni in provincia di Nuoro, letteralmente insidiate e tenute d’ostaggio dal virus che si diffonde tramite allegato.

Anche qui in redazione, a un membro del nostro team è giunta l’email traditrice, che si presenta in questo modo:

Nuova ondata di email virus: ransomware e il virus Cryptolocker

Per chi non sapesse cosa siano i ransomware, l’email riportata in figura ne è un tipico esempio. Nella casella del malcapitato giunge una missiva elettronica di un corriere o di un ente che promette un rimborso con un allegato che sembra una fattura, un ordine o un ordine da saldare. Finchè il testo dell’email è giunto in inglese o in italiano poco corretto, era facile individuare la truffa ed evitare l’apertura dell’allegato. Da due giorni circa, però, le email giungono agli utenti italiani in corretto stile grammaticale e diviene dunque complicato distinguere la missiva di phishing da una reale.

L’utente, ingenuamente, apre l’allegato e in quel esatto momento inizia l’infenzione. Il virus prende possesso dei file presenti sul PC dell’utente colpito (soprattutto file Word ed Excel) e ne cripta il contenuto. L’utente non si accorge subito del misfatto, ma solo dopo qualche tempo, quando tenta di aprire i file che sono stati crittografati con una chiave sconosciuta. All’apertura dei file contagiati, compare questa schermata:

Nuova ondata di email virus: ransomware e il virus Cryptolocker

Si tratta di una richiesta di riscatto (il termine ransom, infatti, in inglese significa riscatto) con cui gli hacker che hanno messo in piedi la truffa chiedono un pagamento (spesso in BitCoin, con cifre che possono anche superare i 100 dollari) per rilasciare la chiave di decifratura e restituire i file con il loro contenuto intatto ai leggitimi proprietari.

Come funzionano i virus ransomware, fra crittografia e riscatto

L’urgenza incussa nel messaggio fa pensare agli utenti che non vi sia altra via di fuga se non cedere al ricatto e pagare il riscatto. Infatti, con il messaggio di infezione, gli hacker minacciano che se il pagamento del riscatto richiesto non avviene entro un certo numero di ore, i file rimarranno crittografati per sempre.

Con il pagamento, quindi, si dovrebbe ottenere la passphrase che permette di decrittografare i file e i documenti presi d’ostaggio.

Come lo stesso blog di QBoxMail sottolinea, i file allegati da cui parte l’infenzione si presentano per ora in formato CAB e hanno nomi simili ai seguenti:

  • fattura10BA111.cab
  • sollecitazione239C120.cab
  • domanda8603294.cab
  • bill48ED0CE.cab
  • charge6565840.cab
  • requisito54F90CE.cab
  • realizzazione62CB8D1.cab

mentre i file infetti vengono rinominati e l’estensione si modifica in CTBL o CTBL2, anche se i nuovi metodi usano estensioni randomiche come .ftelhdd or .ztswgmc.

Quando l’algoritmo CTBL individua un file supportato lo crittografa con una tecnica di crittografia di tipo eliptical curve.

Il successo di questa tipologia di infezione si basa su tre cardini:

  • l’ingenunità dell’utente che crede al contenuto dell’email e ne consulta l’allegato;
  • l’incapacità degli antivirus di riconoscere l’attuale variante del virus (Cryptlocker o CTB Locker)
  • l’effettiva incapacità di decrittografare i file codificati.

Per chi è stato affetto dal problema, però, prima di procedere al pagamento del riscatto (che ricordiamo non offre la sicurezza di ottenere la passphrase per la decrittografia) è possibile fare qualche tentativo di ripristino del sistema.

Come tentare di combattere un virus ransomware

Per prima cosa, conviene rimuovere l’infezione virus, eliminando qualsiasi eseguibile dalla cartella dei temporanei di sistema e ripulire il PC dai task nascosti presenti nel Task Manager. Dopo aver rimosso l’infezione, bisogna procedere con il recupero dei file crittografati.

Qui si procedere con tre metodi differenti:

  1. avere a disposizione un backup dei file colpiti (la cui lista è di solito visionabile nel messaggio di riscatto) e ripristinare il salvataggio.
  2. poiché il virus CTB Locker prima di crittografare i file ne effettua una copia ed elimina i file originali, sarebbe possibile usare alcuni software di recupero dati come R-Studio o Photorec, per verdere se c’è ancora qualche traccia dei file cancellati. Soprattutto nei sistemi Windows, infatti, i file non vengono fisicamente eliminati dai settori dell’hard disk, ma vengono solo rimossi i loro riferimenti dalla tabella di allocazione, in modo che non siano più visibili all’utente.
  3. usare il sistema di Ripristino del volume disponibile fino all’OS Windows 7 e attivabile sui PC Windows 8, con un piccolo trucchetto.
  4. ricorrere a un restore dei file Dropbox, come spiegato qui.

Se nessuno di questi metodi è applicabile, allora non c’è molto da fare. D’altra parte, molti provider, come lo stesso QBoxMail, visto l’incremento di traffico fra gli utenti che reputano credibile l’email, hanno bloccato a livello server tutti gli allegati che contengono un file .CAB.

Un altro metodo di prevenzione è l’uso del tool gratuito CryptoPrevent di FoolishIT LLC che configura delle regole di restrizione ai percorsi file per i software eseguiti sul sistema.

Nuova ondata di email virus: ransomware e il virus Cryptolocker

Insomma, come al solito le regole basilari sono quelle che funzionano meglio contro tutti i virus: prudenza, arguzia, meno ingenuità nella consultazione della posta elettronica e un buon backup effettuato prima della disgrazia!

Facci sapere cosa ne pensi!

  1. Luca says

    Per completezza d’informazione sarebbe interessante sapere se l’azione di questo file CAB interessa solo i PC Windows oppure anche gli altri sistemi tipo Linux e OsX?

    In un mondo che pullula di OS diversi, quando si mettono giù due righe di articolo sarebbe il caso puntualizzare se quanto descritto è in linea generale o rivolto ad un unico settore.

    Grazie

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *