Cerca nel blog

2014/04/04

Il malware CryptoDefense cifra i dati delle sue vittime per ricattarle. Dimenticando la chiave sul loro PC

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Da qualche tempo stanno facendo danni consistenti gli attacchi informatici basati sul pagamento di un riscatto (ransomware): il criminale invia alle vittime un malware, spesso annidato in un allegato alla mail, che cifra i documenti informatici presenti sul PC o sulla rete delle vittime stesse e poi chiede un riscatto per rivelare la complicatissima password di decifrazione.

Chi si fa infettare e non ha una copia di sicurezza dei propri dati rischia di perdere tutto, per esempio tutti i documenti di lavoro, con effetti potenzialmente devastanti.

Fra i numerosi esemplari circolanti di questo genere di malware spicca CryptoDefense: i suoi creatori hanno incassato oltre 30.000 dollari al mese dalle proprie attività illegali. Purtroppo questo genere di crimine paga.

Pensavano di aver costruito una trappola letale: cifratura basata su chiave RSA a 2048 bit, raddoppio del riscatto dopo quattro giorni, uso della rete Tor per effettuare il pagamento (rigorosamente in bitcoin, difficili da tracciare). Il malware include anche dettagliate istruzioni per attivare il software Tor.

Ma i criminali hanno commesso un errore di proporzioni epiche, come racconta Symantec: il loro malware, infatti, lascia sul computer della vittima una copia della chiave di decifrazione. La chiave è nascosta, secondo The Register, nella cartella Application Data - Application Data - Microsoft - Crypto - RSA folder del computer aggredito. Per cui basta usarla per decifrare i dati e l'attacco viene neutralizzato.

Meglio, comunque, non contare sugli errori di programmazione dei criminali e fare prevenzione tenendo aggiornato l'antivirus e facendo attenzione prima di aprire qualunque allegato, anche se proviene apparentemente da un mittente attendibile.

10 commenti:

criceto ha detto...

Ciao Paolo, ho avuto un caso proprio ieri. Ho controllato la cartella RSA ma non c'e' nulla ... si sono evoluti? Se ti interessa ho il file .exe del virus. Puo' anche essere che il file venga messo li solo alla fine del processo, nel mio caso hanno spento il PC prima che finisse.

Patrick Costa ha detto...

Hihih... meno male che anche loro (i criminali) non sono "perfetti"!

ICTsolver ha detto...

Ciao Paolo, ho letto l'articolo di Symantec ma non ho trovato il riferimento alla specifica cartella che indichi nel tuo post "nella cartella Application Data - Application Data - Microsoft - Crypto - RSA folder del computer aggredito."
Nell'articolo di Symantec si cita genericamente "...However, using this method means that the decryption key the attackers are holding for ransom, actually still remains on the infected computer after transmission to the attackers server."
Vorrei approfondire l'argomento in particolare su come si possa creare un modo per de-criptare (o decifrare) i files, per favore potresti indicare la fonte in cui hai individuato la specifica cartella.
grazie

ICTsolver ha detto...
Questo commento è stato eliminato dall'autore.
Stupidocane ha detto...

Ehm, forse io scriverei anche che chi trova la cartella RSA con dei file dentro, meglio non cancellarli.
Non vorrei che ti leggesse qualche "nativo digitale" e facesse qualche macello...

Paolo Attivissimo ha detto...

ICtsolver,

errore mio: la fonte del path è The Register, non Symantec. Ho corretto l'articolo linkando la fonte di The Register.

Sorry!

Il Lupo della Luna ha detto...

Il percorso corretto è C:\Users\[nomeutente]\AppData\Roaming\Microsoft\Crypto dove al posto di [nomeutente] c'è il nome con cui fate login. (windows 8, ma dovrebbe essere uguale anche in Vista

ICTsolver ha detto...

@Paolo e @Il Lupo della Luna, grazie per entrambe le precisazioni.
Ho fatto anch'io un pò di ricerche per capire come fare a decifrare i files e, poiché nel frattempo sono state diffuse le modalità per recuperarli, anzichè scrivere un software ho scritto solo un piccolo riassunto delle modalità di recupero nella sezione "E-VIRUS CHE CHIEDE IL RISCATTO" del post:
http://itmanagerlife.blogspot.it/2014/03/e-virus-nuove-modalita-di-infezione-e.html
Emsisoft fino a qualche giorno si era messa a disposizione per recuperare i files di chi li avesse contattati senza però indicare oubblicamente come fare. Su questa faccenda c'è stata inoltre un pò di polemica da parte proprio di Emsisoft per il fatto che una nota casa di software concorrente aveva invece diffuso l'esistenza di questo "bug" del virus facilitando il compito di "revisione" dei creatori del virus. Tanto che a pochi giorni dalla comprasa della prima versione esite già una variante che non salva la chiave nel PC.

. ha detto...

Fare il backup dei dati sembra una prevenzione migliore :)

Il Lupo della Luna ha detto...

Quel percorso dovrebbe essere la cache dei certificati di crittografia installati dall'utente.