skip to main | skip to sidebar
10 commenti

Il malware CryptoDefense cifra i dati delle sue vittime per ricattarle. Dimenticando la chiave sul loro PC

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Da qualche tempo stanno facendo danni consistenti gli attacchi informatici basati sul pagamento di un riscatto (ransomware): il criminale invia alle vittime un malware, spesso annidato in un allegato alla mail, che cifra i documenti informatici presenti sul PC o sulla rete delle vittime stesse e poi chiede un riscatto per rivelare la complicatissima password di decifrazione.

Chi si fa infettare e non ha una copia di sicurezza dei propri dati rischia di perdere tutto, per esempio tutti i documenti di lavoro, con effetti potenzialmente devastanti.

Fra i numerosi esemplari circolanti di questo genere di malware spicca CryptoDefense: i suoi creatori hanno incassato oltre 30.000 dollari al mese dalle proprie attività illegali. Purtroppo questo genere di crimine paga.

Pensavano di aver costruito una trappola letale: cifratura basata su chiave RSA a 2048 bit, raddoppio del riscatto dopo quattro giorni, uso della rete Tor per effettuare il pagamento (rigorosamente in bitcoin, difficili da tracciare). Il malware include anche dettagliate istruzioni per attivare il software Tor.

Ma i criminali hanno commesso un errore di proporzioni epiche, come racconta Symantec: il loro malware, infatti, lascia sul computer della vittima una copia della chiave di decifrazione. La chiave è nascosta, secondo The Register, nella cartella Application Data - Application Data - Microsoft - Crypto - RSA folder del computer aggredito. Per cui basta usarla per decifrare i dati e l'attacco viene neutralizzato.

Meglio, comunque, non contare sugli errori di programmazione dei criminali e fare prevenzione tenendo aggiornato l'antivirus e facendo attenzione prima di aprire qualunque allegato, anche se proviene apparentemente da un mittente attendibile.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Ciao Paolo, ho avuto un caso proprio ieri. Ho controllato la cartella RSA ma non c'e' nulla ... si sono evoluti? Se ti interessa ho il file .exe del virus. Puo' anche essere che il file venga messo li solo alla fine del processo, nel mio caso hanno spento il PC prima che finisse.
Hihih... meno male che anche loro (i criminali) non sono "perfetti"!
Ciao Paolo, ho letto l'articolo di Symantec ma non ho trovato il riferimento alla specifica cartella che indichi nel tuo post "nella cartella Application Data - Application Data - Microsoft - Crypto - RSA folder del computer aggredito."
Nell'articolo di Symantec si cita genericamente "...However, using this method means that the decryption key the attackers are holding for ransom, actually still remains on the infected computer after transmission to the attackers server."
Vorrei approfondire l'argomento in particolare su come si possa creare un modo per de-criptare (o decifrare) i files, per favore potresti indicare la fonte in cui hai individuato la specifica cartella.
grazie
Questo commento è stato eliminato dall'autore.
Ehm, forse io scriverei anche che chi trova la cartella RSA con dei file dentro, meglio non cancellarli.
Non vorrei che ti leggesse qualche "nativo digitale" e facesse qualche macello...
ICtsolver,

errore mio: la fonte del path è The Register, non Symantec. Ho corretto l'articolo linkando la fonte di The Register.

Sorry!
Il percorso corretto è C:\Users\[nomeutente]\AppData\Roaming\Microsoft\Crypto dove al posto di [nomeutente] c'è il nome con cui fate login. (windows 8, ma dovrebbe essere uguale anche in Vista
@Paolo e @Il Lupo della Luna, grazie per entrambe le precisazioni.
Ho fatto anch'io un pò di ricerche per capire come fare a decifrare i files e, poiché nel frattempo sono state diffuse le modalità per recuperarli, anzichè scrivere un software ho scritto solo un piccolo riassunto delle modalità di recupero nella sezione "E-VIRUS CHE CHIEDE IL RISCATTO" del post:
http://itmanagerlife.blogspot.it/2014/03/e-virus-nuove-modalita-di-infezione-e.html
Emsisoft fino a qualche giorno si era messa a disposizione per recuperare i files di chi li avesse contattati senza però indicare oubblicamente come fare. Su questa faccenda c'è stata inoltre un pò di polemica da parte proprio di Emsisoft per il fatto che una nota casa di software concorrente aveva invece diffuso l'esistenza di questo "bug" del virus facilitando il compito di "revisione" dei creatori del virus. Tanto che a pochi giorni dalla comprasa della prima versione esite già una variante che non salva la chiave nel PC.
Fare il backup dei dati sembra una prevenzione migliore :)
Quel percorso dovrebbe essere la cache dei certificati di crittografia installati dall'utente.