CryptoLuck: nuova ondata di CryptoVirus

I nostri sistemi di filtraggio della navigazione, virus e spam hanno identificato che da diverse ore è in corso un’importante campagna spam il cui scopo è veicolare una nuova variante del ransomware CryptoLuck.

La principale forma di diffusione del ransomware CryptoLuck è legata alle email infette. Infatti, per diffondere maggiormente l’infezione ransomware, vengono inviate massivamente email contenenti link malevoli. Questi link rimandano l’utente verso siti che sono stati violati e compromessi dal virus. Su questi siti web è stata caricata una specifica variante del virus in grado di installarsi autonomamente all’interno del PC.

Una seconda variante di diffusione CryptoLuck riguarda la presenza di file JavaScript allegati alle mail. Vi preghiamo di fare molt attenzione: i file CryptoLuck hanno estensione del file .js.

In tal caso, il file allegato alla mail è un semplice download, cioè un programma in grado di agganciarsi ai siti compromessi e scaricare il virus sui PC.

Ecco per voi un esempio di download CryptoLuck:

Per installarsi in modo nascosto, il virus sfrutta una vulnerabilità di alcuni file DLL portando un attacco di tipo dll-hijacking.

In pratica, la parte non dannosa del virus chiama un file lecito del pc (ad esempio il file di aggiornamento di Google Chrome) e chiede a quest’ultimo di eseguire la parte malevole del virus.

Facendo in questo modo, CryptoLuck riesce a nascondersi a quei motori antivirus che non sono dotati di protezione per dll-hijacking e che non interagiscono con un firewall evoluto come le UTM in grado di rilevare anomalie di traffico di rete.

Una volta che il virus viene scaricato dall’utente, resta “in silenzio” per 5 minuti, trascorso questo tempo CryptoLuck si attiva. Il virus è anche in grado di rilevare se è in esecuzione all’interno di una macchina virtuale o in un sistema fisico.

Se si trova in ambiente virtuale, cerca di diffondersi tramite la rete locale alla ricerca di pc da infettare. Se, invece, è stato installato a bordo di pc, il ransomware inizierà a cifrare i file con una password e riuscirà a “rapire” tutti i documenti di cui necessita.

La particolare violenza di questa variante ransomware sta nel fatto che ogni file del pc viene cifrato con una differente password, sfruttando l’algoritmo AES256 (il più potente e inviolato sistema di cifratura a livello mondiale, usato anche come standard top secret).

Pertanto, anche se in qualche modo riucisse a scoprire la password di cifratura di un file, questo codice segreto sarebbe in grado di decifrare solamente un singolo file e non l’intero archivio “rapito”.

A tutti i file cifrati verrà cambiata l’estensione aggiungendo al file un codice univoco di accesso. Il riscatto viene espressamente richiesto in Bitcoin e la cifra da pagare è fissata a 1.500 dollari.

L’infezione da cryptovirus (ransomware spesso identificati nel più famoso CryptoLocker) si svolge come un vero e proprio rapimento.

I cyber-criminali prendono in ostaggio i file che riescono a reperire sul dispositivo e se l’azienda desidera riaverli, dovrà per forza pagare la cifra del riscatto. Per dimostrare di riuscire veramente a decifrare i dati, i rapitori permettono all’utente di decifrare un singolo campione di “file rapiti”, la cui dimensione non può essere superiore ai 100kb (non è quindi possibile farsi decifrare una file di backup).

Le armi di difesa a disposizione di un’azienda sono molteplici.

1. Attenzione alle email che arrivano. Ad esempio: se non si è in possesso di un conto postale, è inutile aprire un allegato o cliccare un link dove si viene informati che il proprio conto postale è stato bloccato o ha finito i soldi.
2. Fate attenzione al linguaggio utilizzato nelle email.
3. Navigazione Internet: state alla larga dai pop-up e dalle pubblicità.

Saremmo dei folli se vi dicessimo che da un attacco ransomware ci si protegge solo tramite l’attenzione e la precisione. Finita l’opera dell’uomo, arrivano le tecnologie in soccorso.

Pertanto, per proteggersi da CryptoLuck occorre:

• mantenere costantemente aggiornato l’antivirus del pc, autorizzandolo a scansionare tutti i file e la memoria di sistema.
• abilitare la protezione della navigazione web.
• dotarsi di un sistema UTM in grado di monitorare, analizzare e filtrare il traffico in entrata e in uscita.
• mantenere in funzione i backup, verificando ogni tanto la loro correttezza attraverso prove di ripristino.