Feb
23

Locky Ransomware

Il nuovo Ransomware Locky crittografa i files nei dischi locali e nelle share di rete (anche se non sono mappate).

E’ stata recentemente scoperta una nuova variante di ransomware chiamata Locky, che cifra i files utilizzando una crittografia AES e poi chiede un riscatto di 5 bitcoin per poterli decifrare. A dispetto del nome poco minaccioso, questa nuova variante non è da sottovalutare: colpisce infatti un gran numero di files sui dischi locali e, cosa più importante, è in grado di colpire anche le cartelle di rete senza che siano mappate. Dal 16 Febbraio si contano già oltre 400.000 casi.

Colpire i dati che si trovano sulle cartelle di rete non mappate era una feature già presente in DMA Locker e il fatto che ora si trovi anche in Locky fa pensare che presto questo comportamento diventerà la norma. Come CryptoWall, Locky inoltre cambia completamente i nomi dei files che vengono cifrati, rendendo così più difficile il recupero dei dati.

 

Parliamo di Locky

Locky viene correntemente distribuito tramite email, simulando una fattura in attesa di pagamento. Si segnala in proposito che chi conduce gli attacchi sta cercando di sintonizzare l’invio delle mail con i periodi effettivi di invio da parte dei fornitori di servizi, in modo da far sembrare gli invii più credibili. Il messaggio email ha un oggetto simile a “ATTN: Invoice J-98223146” nel quale varia il numero della fattura. Il testo della mail contiene la frase: "Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice". Di seguito ne visualizziamo un esempio:

Esempio di Email con Locky RansomWare 

 

Allegato al messaggio si trova il documento Word dal nome simile a invoice_J-98223146.doc. Quando l’allegato viene aperto, il testo del documento appare caotico e illeggibile e viene visualizzato il messaggio “Enable Macros if encoding is incorrect” che invita l'utente ad attivare le macro per riuscire a leggere il messaggio:

 Esempio di Documento Word Malevolo

Naturalmente, una volta che la vittima abilita le macro, il codice macro contenuto nel documento si attiva e viene scaricato un file eseguibile (il virus vero e proprio) da un server remoto.

Il file eseguibile viene scaricato dalla macro nella cartella %Temp% e mandato in esecuzione. Questo eseguibile è il Ransomware Locky che quando va in esecuzione comincia subito a crittografare i files nel computer.

Quando Locky si avvia, assegna un id univoco di 16 cifre esadecimali - come ad es F67091F1D24A922B - alla macchina infettata e poi cerca i files da cifrare nei dischi locali e in tutte le share di rete raggiungibili. I files che vengono cifrati attraverso l’algoritmo di crittografia AES hanno le seguenti estensioni:

Estensioni files colpite da lockyQuando Locky cifra un file lo rinomina poi in modo da renderlo irriconoscibile, così, ad esempio il file test.jpg una volta cifrato diventerà qualcosa di simile a F67091F1D24A922B1A7FC27E19A9D9BC.locky. L’id univoco e altre informazioni verranno anche aggiunte alla fine del file crittografato.

E’ importante sottolineare come Locky riesca a crittografare i files nelle share di rete anche se queste non sono mappate come unità locali. Alla luce di questo comportamento, che come abbiamo scritto sembra destinato a diventare comune, gli amministratori di rete farebbero bene a restringere i permessi sulle cartelle condivise, in modo da ridurre al minimo i rischi.

Durante il processo di cifratura, Locky cancella anche le copie Shadow nella macchina infettata, rendendo così impossibile il ripristino della macchina ad uno stato precedente l’infezione.

Nel Desktop della macchina infetta e in ogni cartella che verrà crittografata, Locky scriverà un file chiamato _Locky_recover_instructions.txt. Questo file di testo contiene informazioni sulla crittografia adottata e un link che reindirizza alla pagina web da dove si può scaricare l’eseguibile per decifrare i files:

 

Arrivati a questo punto, non c’è maniera nota per decifrare i files cifrati da Locky. Il riscatto richiesto per rriavere i files si aggira tra i 200 e i 500 USD circa.

E’ ormai superfluo ricordare che il pagamento del riscatto non da garanzia alcuna sull’effettivo recupero dei files. L’unica soluzione certa per riavere i dati e ricorrere al ripristino di un backup.

Riordiamo ancora una volta che per difendersi da queste minacce non e sufficiente dotarsi di un buon antivirus ma serve adottare una vera e propria strategia di protezione dei dati.

Alcuni consigli

Per concludere, ribadiamo alcuni consigli già scritti in un post precedente riguardante CryptoLocker:

Bisogna prestare attenzione al contenuto delle e-mail e usare buon senso:

-          Controllare sempre mittente e destinatario del messaggio prima di considerare l’eventuale allegato

-          Valutare il contenuto delle e-mail: Perché aprire, ad esempio, un messaggio e-mail di un corriere se non si attende nessuna consegna?

-          Diffidare, in generale, dalle e-mail inviate a nome di servizi postali, banche o istituti di credito.

-          Diffidare dalle e-mail che propongono di scaricare aggiornamenti software

Cosa fare se, nonostante tutto, si incappa in un Ransomware?

Quello che si può fare è spegnere immediatamente il computer ed evitare di riaccenderlo (questo per evitare che il virus possa tornare in funzione e provocare ulteriori danni).

Se si è collegati in rete, scollegare immediatamente il PC dalla rete, in modo da ridurre il rischio che i files conservati sui server vadano compromessi. Una volta spento il computer e isolato dalla rete conviene rivolgersi ad un tecnico specializzato per tentare il recupero dei dati.

Per maggiori informazioni: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Virus - CryptoLocker - RansomWare - Perdita Dati 

Treviso Padova Vicenza Castelfranco Montebelluna Bassano Crocetta Valdobbiadene