CryptoLuck: nuova ondata di CryptoVirus

CryptoLuck: nuova ondata di CryptoVirus

I nostri sistemi di filtraggio web, virus e spam hanno identificato che da diverse ore è in corso un’importante campagna di spam il cui scopo è veicolare una nuova variante del virus informatico denominato CryptoLuck.

cryptoluck schermata con coordinate per effettuare il riscatto

Come avviene la diffusione di CryptoLuck: le due modalità

La principale forma di diffusione è legata a email contenenti link a siti che sono stati violati e compromessi dal virus. Su questi siti web è stata caricata una specifica variante del virus in grado di installarsi all’interno del pc sul quale viene aperto il sito compromesso.

Una seconda variante di email di spam riguarda, invece, la presenza di file JavaScript allegati alla mail stessa (estensione del file .js). In tal caso, il file allegato alla mail è un semplice downloader, cioè un programma in grado di agganciarsi ai siti compromessi e scaricare il virus sui pc.

esempio di link a download cryptoluck

Come CryptoLuck si installa sul pc

Per installarsi in modo nascosto, il virus sfrutta una vulnerabilità di alcuni file DLL portando un attacco di tipo dll-hijacking.

In pratica, la parte non dannosa del virus chiama un file lecito del pc (ad esempio il file di aggiornamento di Google Chrome) e chiede a quest’ultimo di eseguire la parte malevole del virus.

Facendo in questo modo, CryptoLuck riesce a nascondersi a quei motori antivirus che non sono dotati di protezione per dll-hijacking e che non interagiscono con un firewall evoluto come le UTM in grado di rilevare anomalie di traffico di rete.

Come agisce sul pc infetto

Una volta che il virus viene eseguito, resta silente per 5 minuti prima di attivarsi per non destare sospetti. Il virus è anche in grado di rilevare se è in esecuzione all’interno di una macchina virtuale o in un sistema fisico.

Se si trova in ambiente virtuale, cerca di diffondersi sulla rete locale alla ricerca di pc da infettare. Se, invece, è stato installato a bordo di una macchina fisica, il malware inizia a cifrare con una password e “rapire” i file contenenti dati presenti nel pc.

come si presentano i file cifrati da cryptoluck

La particolare violenza di questa variante sta nel fatto che ogni file del pc viene cifrato con una differente password, sfruttando l’algoritmo AES256 (il più potente e inviolato sistema di cifratura a livello mondiale, usato anche come standard top secret). Pertanto, anche se in qualche modo di potesse scoprire la password di cifratura di un file, questo codice segreto sarebbe in grado di decifrare solamente un singolo file e non l’intero archivio “rapito”.

A tutti i file cifrati verrà cambiata l’estensione aggiungendo al file un codice univoco della vittima e il tipo di virus che ha intaccato il pc. Il riscatto da pagare in bitcoin è di circa 1.500 dollari.

Come difendersi ed evitare di infettarsi con CryptoLuck

L’infezione da cryptovirus (ransomware spesso identificati nel più famoso CryptoLocker) è esattamente equivalente a un rapimento: i criminali prendono in ostaggio i dati del pc e chiedono un riscatto per consegnare le chiavi per riavere indietro i propri dati. Per dimostrare di riuscire veramente a decifrare i dati, i rapitori permettono di decifrare un singolo campione di “file rapito”, la cui dimensione non può essere superiore ai 100kb (non è quindi possibile farsi decifrare una file di backup).

Le principali armi di difesa sono molteplici. Innanzitutto occorre porre attenzione nelle email ed evitare click incontrollati e indiscriminati. Se non si è in possesso di un conto postale, è inutile aprire un allegato o cliccare un link dove si viene informati che il proprio conto postale è stato bloccato o ha finito i soldi.

Occorre inoltre fare attenzione ai termini utilizzati nelle email, ai domini di provenienza delle stesse e alla grammatica. Nella quasi totalità dei casi, se l’utente pone attenzione a questi tre elementi, si accorgerà che c’è qualcosa di sospetto nelle mail: un carattere strano al posto delle “è”, punteggiatura non corretta o completamente assente, termini impropri o non utilizzati nella nostra lingua (ad esempio: “scatta qui per aprire il tuo conto” al posto di “clicca qui per…” o “fai click qui per …”).

Una volta posta la corretta attenzione nel contenuto delle mail, la metà della protezione è già stata implementata. L’altra metà spetta ai sistemi automatici: antivirus, UTM e backup.

Occorre mantenere costantemente aggiornato l’antivirus del pc, autorizzandolo a scansionare tutti i file e la memoria di sistema. Inoltre, occorre abilitare la protezione per il traffico malevole e il buffer overflow.

Sul fronte della protezione della rete, è obbligatorio dotarsi di un sistema UTM in grado di monitorare, analizzare e filtrare il traffico in entrata e in uscita. Grazie alle UTM, le reti saranno protette da eventuali attacchi sia dalla rete interna, che dalla rete esterna. Inoltre, le UTM saranno in grado di intercettare e bloccare tutte le richieste verso siti compromessi e contenenti le password di cifratura per i virus.

Da ultimo, infine, è importante mantenere aggiornati quotidianamente i backup dei dati, verificando ogni tanto la loro correttezza attraverso una prova di ripristino di qualche file a campione contenuto nel backup.

elenco delle estensioni file bersaglio di cryptoluck

Conclusioni e approfondimenti

Tutti i clienti che hanno in essere un contratto di Total Protection sono già stati protetti da questo nuovo tipo di attacco attraverso il rilascio di appositi aggiornamenti e specifiche configurazioni.

Per tutti coloro che non hanno attivo il contratto Total Protection e volessero approfondire le informazioni o volessero effettuare una valutazione della propria situazione, il nostro Cyber Security Team è a disposizione.

 

2019-03-14T16:19:55+02:00 21 Novembre 2016|Cryptovirus|

Leave A Comment