La nuova variante si chiama CTB-locker. Crypto-Ransomware si riferisce ad una classe di malware che tiene in “ostaggio” un computer, se così possiamo dire, fino a quando l’utente paga un determinato importo in denaro così da ricevere istruzioni specifiche sullo sblocco.

Crypto-Ransomware una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi nell’immediato tutti i dati presenti sul disco rigido richiedendo poi un pagamento all’utente per ottenere una chiave di decriptazione. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga di un backup non compromesso.
 

Come si diffonde CTB-locker?

 
CTB-locker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di “social engineering” e che solitamente proviene da fonti legittime oppure tramite una botnet. Adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile .

Il file non è visibile come “.exe” ma in realtà come “..exe” perchè l’attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come “.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo, o come un semplice file .zip.

crypto-locker2
 
Quando viene eseguito per la prima volta, il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico.

A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.
Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.

Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti.

Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di dai 200 ai 500 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Se CTB-locker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l’unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware.

Il malware è conosciuto anche come:

Piaciuto questo articolo? Perchè non leggi anche:

Last edit:

Nuovo attacco del malware Crypto-Ransomw…

di Roberto Bottazzi tempo di lettura: 2 min