File criptati: come si presentano e come riconoscerli

Immaginate di arrivare un giorno in ufficio, accendere il computer per rivedere le ultime fatture e scoprire che non riuscite ad aprire alcun documento. Sembra che tutti i documenti, i video, le immagini: il contenuto di intere cartelle risulta inaccessibile. Solo allora vi rendete conto che tutti i file son stati criptati.

Inizialmente pensate ad un brutto scherzo ma poi vi rendete conto che la stessa sorte è toccata a molti altri file condivisi in rete con i vostri colleghi.
Il reparto tecnico vi avvisa prontamente che i file sono stati criptati da un virus.
La situazione è seria.

Che cosa è successo?
Si possono aprire i file criptati?

O in alternativa è possibile decriptare file criptati da virus?
Andiamo con ordine.

1. Descrizione di un file criptato
2. Che cosa significa criptare un file
3. Riconoscere i file infetti o crittografati da un malware
4. Quali malware criptano i file?
5. Tipi di file sono solitamente crittografati
6. Recuperare un file criptato, è possibile?
7. Esempi di estensioni di file criptati da ransomware

Si dice che un file criptato è un documento il cui contenuto è reso illeggibile o non accessibile in quanto cifrato.
In questo modo, il contenuto può essere leggibile e accessibile esclusivamente a chi conosce il processo inverso (decriptazione) ovvero all’utente che possiede la chiave di decriptazione.

La crittografia ha molti vantaggi ed è a tutti gli effetti una soluzione che permette di mantenere la riservatezza dei file mostrando il suo contenuto solo a chi effettivamente ha diritto di leggerlo. In questo senso, la crittografia funge da sistema di protezione dei documenti e viene indicata con il termine File Encryption System (EPS).

Tuttavia, purtroppo la crittografia è una tecnologia che viene impiegata anche dai criminali informatici riesce in modo illegale per impossessarsi dei know-how e del patrimonio documentale delle aziende.

Appurato che la crittografia è uno strumento sia a disposizione del settore della cybersecurity quanto del cybercrime, dobbiamo dirvi che riconoscere i file crittografati da virus è relativamente semplice.

I file criptati hanno sempre un’estensione inusuale, diversa da quella con la quale avete salvato il file originariamente. A seconda dell’estensione del file possiamo identificare la variante di malware che ha agito sul nostro dispositivo.

Ma cosa intendiamo con il termine estensione dei file?

L’estensione dei file è indicata dal suffisso con cui termina il nome del file salvato su un dispositivo: immagine.jpg o immagine.png, documento.doc o documento.docx e così via.
Nel caso dei file criptati da malware, l’estensione dei file muta. Ad esempio, se al posto di documento.docx trovate nella stessa cartella un file documento.cript1 o documento.aaa si tratta certamente di file criptati da ransomware.

Un’altra possibilità è che non riusciate più a trovare il vostro file documento.docx e al suo posto ne troviate un altro con nome e una estensione totalmente diverse dall’originale, magari con una sequenza di numeri e lettere che non vi permettono di riconoscere di che tipo di documento si tratta. Oppure, in ogni cartella trovate un file denominato ad esempio !Decrypt-All-Files.bmp o !Decrypt-All-Files.txt.

In tutti questi casi vi trovate di fronte ad un caso di file crittografati da malware ransomware.

Ecco che, riconoscere i file infetti una volta che il ransomware è entrato nel dispositivo e si è diffuso in rete diventa estremamente semplice.
Tuttavia, in questo articolo vorremmo insegnarvi a riconoscere i file infetti prima che questi possano entrare sul vostro dispositivo.

Riconoscere i file infetti prima che l’hacker abbia occasione di avviare il payload malware richiede particolare attenzione soprattutto per gli allegati delle e-mail. Diffidate di file compressi (terminano in .zip o .rar) e di file eseguibili (formato .exe), spesso sono impiegati per veicolare infezioni. Non crediate che altri tipi di estensioni, apparentemente innocue siano tali. Esistono virus informatici che si possono scaricare partendo da un file .doc o .docx, .xlsx, .pdf attraverso lo sfruttamento della funzione macro.

In generale, tutti i malware che crittografano i file rientrano della categoria dei Criptovirus.

Questo non significa che esiste un solo tipo di malware in grado di rendere i vostri file inutilizzabili ma che spesso, i diversi software malevoli sono solo varianti o sottocategorie con caratteristiche comuni.

Per lo più si tratta di attacchi ransomware o, per meglio dire, Crypto-ransomware, ovvero attacchi che rendono i file inaccessibili senza compromettere le altre funzioni del tuo dispositivo. L’obiettivo di questi malware è ottenere il pagamento di un riscatto.

Gli hacker possano attaccare tutti i tipi di file e soprattutto, quelli che verosimilmente contengono dati a noi cari.
Ovvero quelli che massimizzano la possibilità che l’utente pressato ceda al ricatto.

Tra i file più frequentemente criptati ci sono:

• I file di documenti (.doc, .docx, .ppt, .xls, .xlsx, ecc)

• File di archivio (.rar, .zip, ecc )

• Formati dei file audio (.mp3, .wav, eccetera).

• Immagini e foto (.jpg, .png, .etc).

• Tipi di file video (.mp4, .avi, eccetera).

Ovvero tutti i formati usati più di frequente dagli utenti.

In alcuni casi è possibile decriptare file criptati da virus, in altri purtroppo no.
Il processo di decriptazione dei file colpiti da ransomware è possibile o meno a seconda della variante di cryptovirus che ha infettato il dispositivo.

Ogni malware, infatti, utilizza un algoritmo di crittografia diverso ed è quindi il solo possessore delle chiavi e dei procedimenti di decriptazione.

• Se un centro di analisi malware è riuscito ad individuare il modo di forzare l’algoritmo del ransomware specifico che ha preso in ostaggio i vostri file e lo ha messo a disposizione dell’intera popolazione potrete utilizzarlo per recuperare i file criptati.
  Molti SOC mettono infatti a disposizione strumenti di decriptazione on-line gratuiti.
  Tuttavia, fate sempre molta attenzione: alcuni attaccanti programmano finti decriptor che in realtà contengono virus informatici.
• Se il vostro device è protetto dall’antivirus potrebbe essere in grado di individuare e rimuovere il malware ripristinando la situazione.
  Purtroppo si tratta di una situazione rara, difficilmente riscontrabile.
• Molte aziende prendono in considerazione il pagamento del riscatto. Tuttavia, oltre che essere una pratica illegale, l’azienda non possiede alcuna garanzia. Inoltre, la questione che avanza è anche legata all’etica dell’azione: pagando le cybergang che tengono in ostaggio i vostri file e che generano i ransomware si alimenta il settore criminale.

La cosa più importante da fare dal momento che vi accorgete che i vostri file sono stati criptati è riconoscere il tipo di virus.
Un forte indizio in questo senso, è dato dall’estensione dei file criptati.

Normalmente nel caso in cui la vostra azienda sia stata travolta da un ransomware e tutti i file siano stati crittografati, meglio rivolgersi ad un team di specialisti cybersecurity.

Come abbiamo già detto l’estensione con la quale vi appariranno i file criptati da una buona indicazione di quale variante ransomware vi abbia attaccato e quindi, la possibilità di recuperare i file senza pagare il riscatto.
Riportiamo di seguito alcuni esempi di nomi dei malware, delle estensioni malevole ad essi associate.

• 1. Crypt0L0cker: .encrypted.

  2. CTB-Locker :crea dei file come questi !Decrypt-All-Files.bmp o .txt in tutte le directory con files criptati.

  3. Alpha Crypt/Tesla:  .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz  .micro .ttt .xxx .micro o non modifica l’estensione.

  4. CryptXXX: .crypt.  .crypt1 o .crypz

  5. TorrentLocker: .encrypted.

  6. Rakhni:  .locked, .kraken, .darkness, .nochance, .oshit, [email protected]_com, [email protected]_com, .crypto, [email protected], [email protected]_com, [email protected]_com, _crypt, [email protected]_com, [email protected]_com  e molti altri

  7. Bandarchor: [email protected], [email protected], [email protected], e molti altri