Cryptolocker: Bitdefender pubblica un tool gratuito per MegaCortex

bitdefender megacortex

Il noto brand di antivirus e VPN Bitdefender ha rilasciato recentemente uno strumento gratuito per decrittografare i file bloccati dal ransomware noto come MegaCortex.

Cos’è Megacortex

Si tratta di un malware scoperto a maggio 2019 che utilizzava componenti sia automatizzate che manuali per infettare il maggior numero possibile di vittime. Questo ransomware prende maggiormente di mira le aziende piuttosto che dai singoli utenti e potrebbe sfruttare reti già compromesse in un precedente attacco.

Da novembre 2019 i cybercriminali dietro MegaCortex hanno iniziato ad implementare tattiche di estorsione doppia, arrivando a chiedere alle proprie vittime fino a svariati milioni di dollari in cambio dello strumento di sblocco.

La situazione non è passata inosservata, tanto che l’FBI ha diramato un avviso a dicembre 2019 circa la presenza di campagne ransomware basate su MegaCortex. All’interno della stessa rete erano presenti altri malware come Qbot ed Emotet.

Il tool di Bitdefenderper il ripristino dei dati

Bitdefender ha realizzato e rilasciato gratuitamente il decryptor per MegaCortex in collaborazione con l’Europol e alla Procura di Zurigo, la Polizia svizzera e i ricercatori del progetto NoMoreRansom, organizzazione no profit che da anni si impegna ad aiutare le vittime di attacchi ransomware per il recupero dei dati.

Il tool è disponibile all’indirizzo www.nomoreransom.org ed è stato realizzato partendo da alcune chiavi private provenienti da attacchi ransomware. Queste permettono alle vittime di ripristinare i dati bloccati da MegaCortex senza dover pagare alcun riscatto.

Come emerso da alcuni studi, pagare il riscatto non garantisce sempre il recupero di tutti i dati colpiti da un attacco ransomware. Per questo motivo è consigliabile rivolgersi immediatamente ad esperti nel settore o a organizzazioni come NoMoreRansom, che molto spesso riescono a intervenire in modo risolutivo, grazie al supporto di aziende e ricercatori di sicurezza di tutto il settore.

Cos’è un Cryptolocker

Un cryptolocker è una minaccia malware che ha acquisito parecchia notorietà negli ultimi anni. Una volta avviato, questo infetta il computer e cerca i file da crittografare. Ciò include qualsiasi dato presente sui dischi rigidi e tutti i media collegati, ad esempio USB o qualsiasi unità di rete condivisa.

Inoltre, il malware cerca file e cartelle archiviati nel cloud. Una volta infettato il pc, i file vengono bloccati utilizzando la cosiddetta crittografia asimmetrica.

Questo metodo si basa su due chiavi, una pubblica e una privata. Gli hacker crittografano i dati utilizzando la chiave pubblica, ma questi possono essere decrittografati solo utilizzando la chiave privata univoca in loro possesso.

Metodi di infezione

Il metodo più comune avviene tramite e-mail con allegati sconosciuti. Sebbene gli allegati sembrino spesso file .doc o .pdf, in realtà contengono una doppia estensione: un eseguibile nascosto (.exe). Una volta aperto, l’allegato crea una finestra e attiva un downloader, che infetta il computer.

Poiché il programma è un Trojan, non può auto-replicarsi: deve infatti essere scaricato per poter infettare il pc. Oltre agli allegati e-mail dannosi, questo malware può provenire anche da siti Web che richiedono di scaricare dei plug-in. Quando tutti i file vengono crittografati, si visualizza un avviso che indica che il computer è stato infettato e viene mostrato un conto alla rovescia. Una volta terminato, i dati saranno distrutti.

Se da una parte molti programmi antivirus riescono a rimuovere questo Trojan, dall’altra però non sono in grado di decrittografare i dati, che possono essere sbloccati solo dietro un pagamento in bitcoin.

Come proteggersi dai cryptolocker

La protezione da questo ransomware inizia da un utilizzo sicuro di Internet: non aprire alcun allegato da indirizzi e-mail sconosciuti, anche se affermano di provenire dalla banca o dal posto di lavoro, e non scaricare file da un sito web sconosciuto.

Creando sempre un backup fisico separato dei file critici, eseguendo regolarmente scansioni antivirus ed evitando allegati potenzialmente dannosi, si può però ridurre al minimo la possibilità di infezione.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device aziendali? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Kasperksy VS Cryptolocker

Kaspersky ha sviluppato uno strumento gratuito che rappresenta una piccola speranza di salvezza per chi si trova vittima di ransomware. Un’arma in più contro quelli attacchi che bloccano tutti i dati e chiedono un riscatto per liberarli.

Kaspersky e la polizia olandese si sono alleate per creare uno strumento che ci libera dal ransomware, forse il peggiore tipo di malware esistente – a parte le cyberarmi ovviamente. Si tratta infatti di attacchi che bloccano i dati con crittografia, dopodiché i criminali chiedono un riscatto, generalmente in Bitcoin o simili. Pagando si riceve la password per sbloccare i propri dati, e non farlo significa rischiare la loro totale perdita.

Lo strumento sviluppato da Kaspersky è gratuito e agisce in particolare contro CoinVault, uno dei ransomware più diffusi. Il lavoro è stato reso possibile dalla National High Tech Crime Unit (NHTCU) olandese, che ha trovato diverse chiavi di decodifica di CoinVault e le ha passate alla società russa.

Non si tratta purtroppo di una soluzione definitiva, ma solo di una possibilità di rimuovere CoinVault. Il lavoro di ricerca è ancora in corso e lo strumento sarà aggiornato in futuro, quindi se oggi non è possibile sbloccare un file può darsi che lo sarà domani.

Non si può che accogliere con piacere un’iniziativa simile, soprattutto considerando quanto stia diventando grave il problema del ransomware. Solo in Olanda ComVault ha colpito oltre 700 computer Windows, ma ci sono vittime in tutto il mondo e molte diverse varianti di questo attacco. Ci sono stati diversi attacchi anche in Italia negli ultimi due anni.

Purtroppo quando si parla di sicurezza informatica le soluzioni non sono mai semplici. Non ci si può limitare a incolpare le vittime, perché troppo ingenue o troppo poco preparate. I computer dopotutto non sono che strumenti per fare cose di ogni genere, e la vera sfida, quella più dura, è proprio trovare il modo d’insegnare a tutti le basi della sicurezza. Come esperti o aspiranti tali, forse è anche compito nostro aiutare tutti a diventare più bravi nello schivare i pericoli.

Cryptolocker – info utili

Con il termine ramsonware si intendono quei software che attraverso operazioni di cifratura dei file li rendono inutilizzabili allo scopo di estorcere un riscatto (dal termine inglese ramson).
Sulla scena informatica di fine 2014 ha iniziato a fare la sua apparizione anche da noi cryptolocker (con le sue varianti) un ransomware che provvede a crittografare tutti i file, personali e anche della rete in modo tale che non possano essere più accessibili. La parola chiave che consente di decodificare i file non viene fornita ed anzi, in perfetto stile ransomware, viene richiesto il versamento di un importo da definirsi a seconda della variante.
Se l’utente non effettuerà il versamento della quota richiesta come riscatto entro 72-96 ore non avrà più accesso ai propri file.
Purtroppo, ad oggi, non è possibile ancora di decodificare i dati crittati da cryptolocker in quanto la chiave di cifratura utilizzata, a 2048 Byte, rende impossibile qualsiasi tentativo di manomissione e decrittazione. Non basta neanche rimuovere il virus dal sistema in quanto anche se il virus è rimosso ormai i file sono criptati e totalmente inutilizzabili.
CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime. Vengono, spesso, utilizzate mail di corrieri di spedizione (dhl, ups, sda) o invio di fatture di acquisto effettuate on line oppure fatture di Telepass.
La mail contiene un file allegato, di solito pdf o zip, che in realtà è un file eseguibile e, una volta cliccato su esso viene avviato irrimediabilmente il processo di crittazione dati. Questo è reso possibile da una caratteristica del sistema operativo che a fronte di un file chiamato nomefile.pdf.exe mostrerà una icona ed una estensione pdf, apparendo un innocuo file acrobat mentre nella realtà è un eseguibile.
Il messaggio generato da CryptoLocker è il seguente:
“I tuoi file personali sono stati criptati!
Il criptaggio dei file importanti su questo computer: foto, video, documenti,ecc.
Per decodificare i file devi ottenere una chiave privata.
Per ottenere la chiave privata per questo computer, devi pagare XXX0 USD/ YYY EUR/somma simile in altre valute.”
Come difendersi? Ad oggi, purtroppo l’unica soluzione è il buon senso. Non esiste, infatti, un antivirus che sia in grado di eliminare il virus e ripristinare i file. Solite raccomandazioni del caso, quindi:
Controllare sempre, una volta scaricato l’allegato di una mail, anche se proveniente da fonte sicura, che l’estensione corrisponda a quella visualizzata dal sistema operativo
Usate sistemi operativi aggiornati (xp non va più bene)
Attenzione alle chiavette USB
Utilizzate antivirus professionali
Effettuate e controllate le copie di backup, conservando una copia completa di qualche giorno scollegata dai sistemi perchè il virus attacca anche le copie
Al primo sintomo di messaggi strani o della presenza di files con estensione “Encrypted” spegnere i pc e i server e chiamare l’assistenza
Cotrupi