Come ho liberato l’ufficio dai Ransomware e CryptoVirus

Negli ultimi tempi gli attacchi dei Ransomware si sono moltiplicati in maniera esponenziale causando danni incalcolabili ad aziende e privati. Comprendendo cosa sono, come infettano il computer e come agiscono, vediamo come come ho liberato il mio ufficio dai CryptoVirus. Mai più worm come CryptoLocker, CryptoWall, TorrentLocker o CTB-Locker.


Riceviamo un email di una presunta bolletta non pagata, di una fattura o di un corriere per un pacco inaspettato. Clicchiamo sull’allegato per capire meglio di cosa si tratta ma apparentemente non si apre nulla. Poco dopo ci rendiamo conto di non essere più in grado di accedere ad alcun file presente sul computer. Tra questi però spicca un file di testo che, in maniera minacciosa, ci avverte che per riavere indietro tutti i nostri dati l’unica soluzione è quella di pagare caro un riscatto. Siamo appena stati vittima di un Ransomware e presto potrebbero esserlo anche tutti gli altri computer dell’azienda. Ma niente paura, forse c’è una soluzione per recuperare i nostri file e sopratutto per evitare che possa accadere nuovamente.

Come ho liberato l'ufficio dai Ransomware e CryptoVirus

Cosa sono i Ransomware

Un Ransomware, comunemente conosciuto come CryptoVirus, è un particolare tipo di malware che blocca l’accesso ai dati del dispositivo che ne viene infettato, con lo scopo di lucrare denaro dalle vittime. Per ottenere nuovamente il controllo dei propri file viene richiesto il pagamento di un riscatto, solitamente in valuta Bitcoin così da renderne difficilissima la tracciabilità. Il termine Ransomware deriva infatti dalla parola inglese ransom, che significa appunto riscatto.
I primi elementari attacchi di questo genere sono stati rilevati in Russia nel 2010, ma solo a partire dal 2013 hanno iniziato a diffondersi gravemente su scala mondiale. Il più famoso tra questi è CryptoLocker, un worm di tipo ransomware che è riuscito a spillare un totale di circa 3 milioni di dollari dalle proprie vittime prima di essere debellato.
I sistemi Windows infettati si ritrovavano tutti i file criptati con una chiave RSA a 2048 bit (praticamente impossibile da decifrare) e la richiesta di un pagamento per la loro decriptazione.

Come agiscono ed infettano il computer

Per contrastare a dovere questo genere di attacchi, innanzitutto è importante comprendere le modalità con cui è possibile cadere vittima dell’infezione. Generalmente il worm si diffonde via email, tuttavia esisono anche altri canali che è preferibile tenere d’occhio.
Nella maggior parte dei casi questo genere di ransomware si propaga attraverso un allegato di posta elettronica con estensione .rar, .zip e più raramente .exe. Spesso il file si presenta come un finto documento .pdf. Approfittando che di default nei sistemi Windows sono nascone le estensioni per i tipi di file conosciuti, questo viene nominato con una finta doppia estensione come ad esempio nomefile.pdf.rar, così da trarre in inganno l’ignaro unente. Di norma l’apertura del solo file compresso non dovrebbe essere sufficiente all’avvio del ransomware, aprirne il suo contenuto invece, rappresentato spesso da un file con estensione .js, è assolutamente letale. Si tratta di JavaScript, un tipo di file comunemente sconosciuto ai non addetti ai lavori ma estremamente pericoloso.
Non di rado mi sono trovato di fronte anche a file .vbs (Visual Basic Scripting).


Una volta avviato il software malevolo, questo come prima cosa si copia in una cartella di sistema e aggiunge una chiave al registro di configurazione in modo da poter partire automaticamente all’avvio del computer. Lo step successivo è quello di connettersi a uno dei server di comando e controllo per ricevere la chiave RSA con il quale criptare tutti i dati. Il malware infine inizia a cifrare i file presenti nel disco rigido e nelle cartelle condivise in rete mappate localmente, tenendo traccia di ogni file cifrato in una determinata chiave di registro.

Solitamente i file che possono essere vittima delle criptazione sono tutti i documenti del pacchetto office, i file testuali, le immagini e file di Autocad. Questi una volta cifrati otterranno una nuova estensione che varia a seconda del tipo di ransomware, le più comuni sono: .ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto, _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .good, .LOL!, .OMG!, .RDM, .RRK, .encryptedRSA, .crjoker, .EnCiPhErEd, .LeChiffre, .keybtc@inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o un estensione formata da un random di 6-7 caratteri alfanumerici.

Oltre agli allegati è bene prestare massima attenzione anche ai link presenti nel compro dell’email, i quali potrebbero avviare inavvertitamente il download del virus.
Un’altra modalità con cui il worm può diffondersi è Skype o altri sistemi simili di messaggistica. Dopo che ci è stato inviato un file da uno dei nostri contatti è sembre buona regola chiedergli conferma della sua genuinità. Quando il worm infetta un computer infatti, potrebbe inviarsi automaticamente a tutta la lista dei contatti all’insaputa del mittente.

Come tutelarsi dai CryptoVirus

Mai come in questi casi, prevenire è meglio che curare. Per tutelarsi dai ransomware ho adottato una serie di misure di sicurezza e prevenzione che possono fare davvero la differenza. Innanzitutto è di vitale importanze tenere costantemente informato sui rischi tutto il personale che lavora al computer. Adottare un sistema di filtraggio delle email ed installare un anti-ransomware sono scelte che possono ridurre di molto i rischi d’infezione.
Per la salvaguardia dei dati è importatissimo settare i giusti permessi per l’accesso ai percorsi di rete e programmare un backup dei computer con cadenza almeno mensile. Vediamo nello specifico come ho deciso di agire.

Tenere informati i colleghi
Non è un caso se ad infettarsi sono principalmente le persone tecnologicamente meno esperte. Io per lavoro un briciolo me ne intendo, riesco quindi ad individuare al volo la maggior parte delle email contenti il virus, tuttavia non serve essere degli esperti informatici per riconoscerle. Tutto quello che occorre è solo un pizzico di buon senso.
A tal proposito tengo costantemente aggiornati i miei colleghi, inviandogli ogni lunedì un promemoria che li avverte di verificare sempre l’attendibilità dei file che ricevono in allegato all’email a prescindere da chi sia il mittente. Li esorto a non abbassare mai la guardia nemmeno se l’email risultasse inviata dal capo in persona, in quanto per un worm inviare un messaggio di posta elettronica con un un falso indirizzo di mittente è un gioco da ragazzi.


Un altro consiglio è quello di diffidare dalle email senza un chiaro testo descrittivo o con un uso scorretto della lingua italiana. Chi realizza questo genere di virus sarà sicuramente un ottimo programmatore informatico, ma difficilmente sarà anche poliglotta e ricorrerà quindi a sistemi come google translate per tradurre i suoi testi in italiano.
Per ogni email contenente il virus che riesco ad intercettare, prendo nota dell’oggetto e del corpo del messaggio, così da aggiornarli sempre sulle ultime versioni. E’ molto importante inviare il report almeno una volta a settimana, anche a costo di risultare ripetitivi con un linguaggio semplice e chiaro da comprendere anche da coloro che confondono un computer per un tostapane.
Questo genere di attacchi possono avvenire quando meno ce lo aspettiamo, colpendo proprio gli utenti che più facilmente tendono a dimenticare questo genere di precauzioni.

Ecco un esempio del messaggio che ormai invio ogni settimana:

Attenzione: promemoria anti-ransomware
Sono sempre in circolazione i pericolosi virus in grado di criptare tutti i file del vostro computer e delle cartelle condivise dai vostri colleghi. Prestate massima attenzione alle email contenenti allegati di tipo .zip e .rar. Prima di aprirli accertatevi sempre della loro attendibilità contattando il mittente. Non abbassate mai la guardia, anche se il mittente è conosciuto, l’indirizzo email potrebbe essere stato contraffatto. Di seguito il testo di alcune email contenenti il virus scovate negli ultimi giorni…

Filtrare le e-mail
Il filtraggio delle e-mail è un’attività in grado di ridurre drasticamente le probabilità d’infezione. E’ possibile filtrare i messaggi contenenti determinate parole chiave o tutti quelli con allegati aventi estensioni a rischio ransomware.
Se si dispone di un server email è possibile configurarlo in maniera tale da bloccare a monte questo genere di messaggi, altrimenti bisognerà agire sui singoli computer. Miscrosfot Outlook attraverso l’uso delle regole permette di spostare automaticamente tutti i messaggi con parole specifiche nell’oggetto in una determinata cartella, ad esempio direttamente nel cestino. Studiando il tipo di messaggi che di solito recapitano il virus, non è difficile stilare una lista di parole chiave da filtrare.
Questo modo d’operare però, oltre a richiedere un continui aggiornamenti, è sicuramente poco efficiente. Si corre infatti il rischio di rigettare email non malevole, inoltre nulla garantisce che il virus non venga ugualmente recapitato facendo uso di nuove parole nell’oggetto.

Filtrare gli allegati è invece sicuramente più sicuro e conveniente. In tal modo riceveremo tutti i messaggi senza esclusioni, ma non sarà possibile scaricare e aprire l’allegato se questo presenta una delle estensioni indicate come pericolose.
Le recenti versioni di Outlook di norma già bloccano l’accesso agli allegati ritenuti potenzialmente pericolosi filtrando tutti gli eseguibili e diversi tipi di script. Proprio per tal motivo, la maggior parte dei ransomare si nasconde all’interno di un file compresso in maniera tale da aggirare tale barriera. Nulla però ci vieta di bloccare anche questo genere di file attraverso applicazioni di terze parti.
Un’utility perfetta per tale scopo è Outlook Attachment Enabler, una piccola applicazione per ambienti Windows in grado di bloccare ulteriori estensioni ritenute poco sicure come quelle .rar e .zip (le principali sfruttate da questo genere di worm). Il software ovviamente agendo solo su Microsoft Outlook XP, 2003, 2007 e 2010, non è assolutamente efficace per chi fa utilizzo di altri client o sistemi webmail per leggere la posta elettronica.

Installare un buon anti-ransomware
Per tutelarsi dai ransomware, fare affidamento su un buon antivirus non è assolutamente sufficiente. La forza di questo genere di attacchi “zero-day” è proprio la velocità con cui riescono a propagarsi e mutare in brevissimo tempo, prima che la loro firma venga aggiunta ai database degli antivirus. Occorre quindi tutelarsi con un apposito anti-ransomware sviluppato in modo da rilevare in tempo reale se un qualsiasi genere di applicativo tenta di usare un sistema di criptazione sui file. Questo approccio al problema dovrebbe essere in grado di fermare in maniera universale qualsiasi tipo di ransomware, compresi quelli che sono ancora sconosciuti agli antivirus.
Tra i più efficaci troviamo MalwareBytes Anti-Ransomware, al momento in versione beta ma gratuito.

Approfondimento: Il miglior software Anti-Ransomware contro i CryptoVirus

Ovviamente non è possibile fidarsi ciecamente del programma, a maggior ragione che si tratta ancora di una versione non definitiva. Comunque sia, fino ad oggi, ho potuto constatare in prima persona la sua efficacia nel rilevare e fermare questo genere di attacchi, quindi ne consiglio vivamente l’installazione.

Applicare i permessi alle cartelle condivise
In caso di infezione il worm non si limita a cifrare solamente i file presenti sul computer infetto, ma attacca anche tutti quelli presenti nelle cartelle condivise in rete e mappate localmente. La questione è ancor più odiosa perché in tal modo, chi inavvertitamente si infetta, rischia di mettere al repentaglio anche il lavoro di quegli utenti che in maniera scrupolosa prestano massima attenzione nell’aprire le email che ricevono.
Per tale motivo è molto importante configurare i giusti permessi alle cartelle che vengono condivise nella rete locale. Evitiamo di settare il controllo completo e la modifica ad Everyone, ed in caso di necessità di scrittura applichiamo una password per l’accesso alla cartella.

Effettuare un backup programmato
La miglior difesa è sicuramente quella di effettuare un backup costante e programmato dei propri dati. Con i propri dati al sicuro non esiste più alcun motivo per essere ricattati, si annienta così la natura vessatoria dei ransomware.
Almeno una volta al mese programmo il backup delle cartelle desktop e documenti dei PC più importanti dell’azienda su un NAS protetto da Password. Non commettete l’errore di utilizzare la cartella public che, generalmente sprotetta se non adeguatamente configurata, potrebbe venire anch’essa criptata in caso di attacco.
Ho inoltre istruito il personale ad inviare periodicamente i file più importanti al loro stesso indirizzo di posta aziendale, in modo da tenerne sempre una copia reperibile in caso di perdita di dati.

Primo soccorso al computer infetto

Appena ci si accorge di essere stati vittima di un ransomware, effettuando le corrette procedure di primo soccorso è possibile limitarne parecchio i danni. Queste possono davvero fare la differenza, ma vanno eseguite il più rapidamente possibile, nel momento esatto in cui ci si rende conto che l’allegato aperto è una trappola.
Come prima cosa andrebbe immediatamente isolato il computer dalla rete locale, eventualmente scollegando prontamente il cavo ethernet. Così facendo, oltre ad evitare che vengano criptati eventuali file condivisi in rete da altri computer, si potrà impedire al worm di collegarsi al suo server di comando ed ottenere la chiave RSA con la quale criptare i files, rendendolo di fatto innocuo.
In molti casi, senza una connessione internet questo genere di ransomwre non è grado di recar danni.
Successivamente è bene spegnere il computer così da arrestare anche il lavoro del virus.

Cosa fare in caso d’infezione da Ransomware

A danno compiuto, con tutti i dati ormai cifrati, l’unica cosa da fare è rimuovere il ransomware ancora installato nel computer.
In questi casi per rimuovere l’infezione di solito mi affido al buon ComboFix, avendo l’accortezza di avviare il computer in modalità provvisoria prima di far partire la scansione.
Per precauzione consiglio di controllare la presenza di programmi e servizi malevoli all’avvio del sistema attraverso il comando msconfig. E’ bene accertarsi anche della presenza di possibili chiavi Run indesiderate nel registro di configurazione nei seguenti percorsi:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Recupero dei file criptati

Putroppo il recupero dei file è estremamente difficile se non impossibile. Senza la chiave di decriptazione riottenere i propri files diventa un’impresa davvero ardua. Tuttavia prima di arrendersi ci sono diverse soluzioni che vale la pena tentare. Con le prime versioni dei CryptoVirus era possibile tentare un recupero dei file con un normale software di recupero dati come Recuva o PhotoRec. Se si è fortunati e nel coputer sono presenti delle copie shadow dei file si potrebbero riottenere i propri file salvandoli nuovamente con utility come Shadow Copy Viewer.
Le copia di shadow è una caratteristica introdotta a con Windows Xp SP1 che permette di creare copie di backup dei dati in maniera automatica, putroppo però la maggior parte dei nuovi ransomware, prevedendo tale mossa, provvedono a rendere tali copie inutilizzabili.
Per fortuna un grande aiuto ci viene ora dato Emsisoft, la nota software house dell’omonimo antimalware. Il suo sito Emisoft Decrypter sta costantemente rilasciando una serie di tool specifici per decriptare i file attaccati da diversi tipi di ransomware.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*