skip to main | skip to sidebar
20 commenti

Epidemia di estorsioni via computer: bollettino d’allerta per il ransomware

È uno dei peggiori incubi di chiunque lavori con i computer: arrivare in ufficio al mattino e trovare che su tutti i computer campeggia un avviso che dice che tutti i dati di lavoro sono stati bloccati con una password complicatissima. Anche le copie di sicurezza sono bloccate. Per avere questa password bisogna pagare il criminale che ha infettato i computer e bloccato i dati. Questo tipo d'infezione si chiama ransomware, contrazione di ransom (riscatto in inglese) e software.

Purtroppo per molti utenti quest’incubo del ransomware sta diventando realtà, tanto da spingere MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione Svizzera, a diramare un bollettino apposito, riferito a un tipo specifico di ransomware denominato Teslacrypt, che è stato segnalato ripetutamente a MELANI negli ultimi giorni.

Il bollettino illustra i passi principali da seguire e quelli da evitare se si è colpiti: per esempio, usare un antivirus a questo punto è inutile, perché comunque i dati restano bloccati; pagare la richiesta di riscatto è un rischio, perché non c'è garanzia che i criminali diano la password di sblocco; scollegare immediatamente da tutte le reti i computer infettati, invece, è importante per evitare che l'infezione si propaghi ad altri computer. Segnalo inoltre che per alcuni tipi di ransomware è disponibile un rimedio: un software gratuito che sblocca i dati, come quello offerto da Cisco.

La prevenzione è, come al solito, la cura migliore: il bollettino di MELANI raccomanda di creare regolarmente delle copie dei dati e di metterle su supporti che vanno scollegati dal computer subito dopo la copia dei dati; invita a essere prudenti in caso di mail inattese o da mittenti sconosciuti, le cui istruzioni non vanno eseguite; e ricorda che è vitale tenere aggiornato il sistema operativo e le applicazioni, avere un antivirus aggiornato e un firewall altrettanto al passo con i tempi.

Da parte mia aggiungo che chi non si tiene aggiornato rischia di contrarre un ransomware anche semplicemente visitando un sito, come è successo ad alcuni utenti che hanno sfogliato con vecchie versioni di Flash le pagine del sito del Reader's Digest, che era infetto con il ransomware denominato Angler. Inoltre è importante, nelle aziende, che sia chiaro che non vi saranno sanzioni o provvedimenti verso chi ha causato l’infezione del ransomware: questo serve a evitare l’omertà e i rimedi fai da te di chi ha sbagliato e aiuta a far emergere tempestivamente il problema.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
dice il saggio Il backup e' buono, il backup e' bello il backup mi fa dormire tranquillo...
Questo tipo di estorsioni sta prendendo piede, tanto che è nato anche il primo ransomware per Linux. Bitdefender ha uno script per risolvere "linux.encoder.1", ma ammettono che in in questi casi sarebbe meglio fare spesso copia dei propri dati (io uso una comoda e capiente pendrive) per poi semplicemente rimpiazzare quelli criptati.
Oltre che tenere i plugin aggiornati, e non lanciare qualunque cosa come amministratore ;-)
@rico
spero che non sia la tua unica copia
Buongiorno a tutti,

Sono il responsabile dell’infrastruttura tecnica di un'azienda che lavora nell'ambito farmaceutico.
Ieri il nostro sistema antispam/antivirus sul server di posta ha lasciato passare un file Zip denominato part1.zip.
All’interno del file era presente un javascript.
Informo puntualmente tutti gli utenti di non aprire email di persone sconosciute e di non aprire file Zip ma purtroppo l’utente in questione, distrattamente, non ha solo aperto lo zip ma ha eseguito lo script.
Al messaggio di Windows (l’antivurus Sophos non ha rilevato minacce) se “si voleva eseguire lo script” con i diritti di amministratore (l’utente è amministratore della macchina) l’utente ha risposto OK e da quel momento in ordine e con calma CryptoWall ha iniziato a criptare tutti i file iniziando dalla prima directory di rete.
La tragedia è iniziata alle 10.30 ma fortunatamente alle 11.50 vengo avvisato da una collega che in rete erano presenti file *.vvv.
Fisicamente corro per tutta l’azienda dicendo di spegnere immediatamente tutti i computer e l’infezione dopo 10 min si blocca.
Alle ore 12.10 trovo sul server di posta l’email infetta, avviso anche gli altri destinatari, avviso l’azienda che gestisce il sistema antispam/antivirus, isolo il PC infetto, cancello i file *.vvv e inizio (non è ancora terminata) la restore di 100GB di documenti.
Il CryptoWall in 1h e 20mm ha criptato più di 26.000 file.
Posso dire che mi ritengo fortunato, aumenterò i livelli di sicurezza, informerò maggiormente i miei utenti ma mi rendo conto che questa tipologia d’attacco è veramente efficace.
Questa è la mia storia e vorrei che fosse d’aiuto per tutti.
Volevo ringraziare Attivissimo per essere un faro in questo buio di grandi e piccoli inganni.
Davide E.
Teslacrypt

"Beccato" da un cliente giusto lunedì scorso.
Per la versione attualmente in circolazione sembra non esserci tool funzinante (almeno non lunedì scorso).
L'unica è il backup periodico e disconnesso.
magari con le nuove istruzioni AES gli hanno facilitato il lavoro
@unknown
ora il tuo dovere e' di lartare di santa ragione suddetto utente...
@Guido Pisano: e quante ne servono? Ah, già, ho una copia dei dati sulla pendrive più capiente, e una copia (.iso) del sistema su di un altra pendrive.
Ma per un utente Linux è normale, solo attraverso la .iso montata su chiavetta o dvd lo si può installare su PC.
siamo flagellati anche noi con piu di 6000 utenti ed una rete grande quanto tutta l'italia non riusciamo ad arginare il virus , mi sono praticamente accorto subito dell'ifezione ma è stato tutto inutile in poco meno di 2 ore siamo stati invasi in quasi tutte le aree , per fotuna abbiamo un eccellente sistema di backup ed non abbiamo perso un byte, rimane il problema EMORME degli utenti che continuano nonostate tutto a far ripartire l'infezione aprendo file zip e file pdf inffettando le macchine continuamente , non riusciamo a farci intendere
Mi è successo in ufficio questa settimana.
CONSIGLIO: tenete tutto sincronizzato su dropbox. Ho scollegato il PC infetto e l'ho formattato. I dati su Dropbox erano corrotti ma c'è una funzione su richiesta che ripristina i files fino a 30 giorni prima.
Risultato: dopo 2 ore dalla segnalazione avevo di nuovo tutti i files a posto. Unica scocciatura è dover reinstallare il sistema.
Domanda ai più preparati di me: vengono criptati tutti i dati di tutti i dischi del PC o solo quelli del disco dove è installato il sistema operativo? Grazie
@Davide E.:
dal punto di vista tecnico, sarebbe cambiato qualcosa se l'utente non fosse stato admin sulla sua macchina? Detto in altri termini, se eseguo il file exe con i privilegi di utente limitato non ottengo ugualmente il disastro?
Amministro una rete di oltre 500 postazioni e 70 server distribuiti nelle 12 filiali della mia azienda.
Nonostante i miei ripetuti avvisi gli utenti aprono qualunque cosa gli arrivi via via mail o tramite web. Per non parlare delle chiavette usb infette che inseriscono allegramente nei PC. Se il sistema non li apre a volte insistono più volte.
Nonostante ciò nessun virus è ancora entrato nella mia rete.
Non è magia e nemmeno fortuna ma solo l'implementazione di due fondamentali regole:
- gli utenti non usano MAI account amministrativi per il lavoro ordinario. Nemmeno e soprattutto i capi.
- gli utenti possono eseguire solo il software installato da un amministratore in cartelle dove non hanno permessi in scrittura (software restriction policy)
- (opzionale ma molto utile) un sistema di antivirus centralizzato che mi avvisa immediatamente in caso di eventi sospetti - nel mio caso System Center Endpoint Protection

Ancora non mi capacito che vi siano realtà importanti dove queste regole non siano nemmeno conosciute

Aggiungo che è possibile implementare le "Software restriction policy" anche su sistemi "home edition" che non o non facenti parte di un dominio Active Directory attraverso utility di terze parti come ad es:
http://sourceforge.net/projects/softwarepolicy/
Cambia moltissimo, ma è necessario bloccare l'esecuzione di codice in cartelle su cui l'utente ha permessi di scrittura.
[quote-"roberto"-"/2015/12/epidemia-di-estorsioni-via-computer.html#c3723083983181272481"]
Domanda ai più preparati di me: vengono criptati tutti i dati di tutti i dischi del PC o solo quelli del disco dove è installato il sistema operativo? Grazie
[/quote]
Un ransomware mentre cripta i file dovrebbe impegnare un bel po' le risorse del computer, possibile che non si riesca ad intercettare tali anomalie di funzionamento e creare un antivirus in grado di bloccare le attività anomale?
Alcune notizie per gli adetti ai lavori:

- solo la prima ondata è decriptabile grazie ad un bug attraverso tool esterni, per il resto bisogna cancellare tutto, i dati sono distrutti ormai anche dopo aver rimosso il virus
- il virus è rapidissimo a diffondersi perchè cripta solo la prima parte di un file (solo l'intestazione)
- si diffonde in tutte le unità di rete MAPPATE, ma non su quelle accedibili solo via UNC
[quote-"Paolo Attivissimo"]Inoltre è importante, nelle aziende, che sia chiaro che non vi saranno sanzioni o provvedimenti verso chi ha causato l’infezione del ransomware: questo serve a evitare l’omertà e i rimedi fai da te di chi ha sbagliato e aiuta a far emergere tempestivamente il problema[/quote]

Ma anche no.
Magari se la gente fosse messa di fronte al fatto certo che, nel caso in cui comportandosi irresponsabilmente creasse danni all'azienda per cui lavora, poi li dovrebbe pagare di tasca propria, rimettendoci lavoro e probabilmente ogni sua proprietà passata, presente e futura, ci penserebbe due caspita di volte prima di combinare cappellate atomiche accettando e aprendo la qualsiasi dal posto di lavoro.
Fosse per me, il solo diffondere appelli di qualsiasi genere usando la mail di lavoro dovrebbe poter essere sanzionato con il licenziamento sui due piedi, e per ottimi motivi: ho il diritto di non volere idioti terminali che lavorano alle mie dipendenze...
Axlman,

avendo seguito alcuni di questi disastri (sono stato chiamato invariabilmente dopo che era successo il fattaccio, mai prima :-), devo dissentire.

Magari se la gente fosse messa di fronte al fatto certo che, nel caso in cui comportandosi irresponsabilmente creasse danni all'azienda per cui lavora, poi li dovrebbe pagare di tasca propria, rimettendoci lavoro e probabilmente ogni sua proprietà passata, presente e futura, ci penserebbe due caspita di volte prima di combinare cappellate atomiche accettando e aprendo la qualsiasi dal posto di lavoro.

Guardala dal punto di vista dell'impresa. Il risarcimento da parte di un dipendente (ammesso poi di poterlo ricevere, viste le norme che regolano i rapporti con i dipendenti) sarà quasi sicuramente inferiore al danno economico subito da un ransomware. E all'azienda intelligente interessa poco la vendetta sul dipendente: interessa riprendere a lavorare il più in fretta possibile.

Quindi conviene di più avere un dipendente che, se fa la cretinata, non tenta di insabbiarla o di dare la colpa ad altri, lasciando quindi che il malware si propaghi, ma anzi dia subito l'allarme generale.

È sottinteso che in teoria ci dovrebbe essere un responsabile informatico che mette il dipendente in condizioni di non nuocere (o ne minimizza il rischio), cosa che manca spessissimo, ma comunque se il disastro succede è meglio saperlo prontamente, ricostruire gli eventi, tracciare la fonte e isolarla. Tutto quello che intralcia l'indagine, omertà compresa, è un danno.
Scusate, ma un'azienda seria ha piu' di un backup per cui teoricamente non dovrebbe avere grossissimi problemi in un caso del genere...