Cryptolocker: in arrivo un nuovo attacco?



Possibile che CryptoLocker sia di nuovo pronto a colpire? In rete si è diffuso il panico e, visti i problemi dello scorso anno, la paura è decisamente motivata. Vi ricordate cosa fu capace di combinare un eseguibile apparentemente innocuo?

A rilanciare l’allarme è Kaspersky Lab ed a quanto pare occorre stare davvero con gli occhi aperti. Facciamo, dunque, un piccolo viaggio indietro nel tempo in modo da non essere colti impreparati.

A sentire Wikipedia, <<CryptoLocker è un cavallo di troia comparso nel tardo 2013. Esso è una forma di Ransomware infettante sistemi Windows, consiste nel criptare i dati della vittima e richiedere un pagamento per la decrittazione. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l’attaccante ma di non aver visto i propri file decifrati.

CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i rencenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malaware possono invece contenere il Trojan Zeus, che a turno, installa CryptoLocker.

Al primo avvio, il software si installa nella cartella documents and settings con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. CryptoLocker quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file>>.

 

 

Stoned-virus-hexacode