CTB-Locker - La nuova minaccia ransomware
I ricercatori di sicurezza presso il team CERT della Société Générale hanno scoperto una nuova campagna di malware che sta diffondendo il ransomware CTB-Locker o Critroni crypto.
Gli esperti di sicurezza presso il team CERT di Société Générale hanno scoperto una nuova campagna di malware che diffonde il ransomware CTB-Locker o Critroni crypto. In passato, i cyber-criminali hanno utilizzato il famoso Angler exploit kit per diffondere il malware CTB-Locker, questa volta gli ideatori della minaccia stanno diffondendo il ransomware attraverso email di spam in diversi paesi.
"CTB sta per “Curve-Tor-Bitcoin", i tre pilastri di questa nuova minaccia: crittografia a curva ellittica per eseguire la crittografia, Tor e Bitcoin per garantire l'anonimato per il pagamento.",afferma il rapporto pubblicato dal team CERT di Société Générale.
"Il virus si diffonde comunemente tramite una e-mail contenente una fattura falsa compressa in un file .zip o .cab. Gli archivi contengono un binario (Dalexis dropper, di solito in un file,scr) che, una volta aperto, visualizza un documento RTF, attende per 5 minuti e poi scarica l'effettivo payload CTB-Locker, che a sua volta esegue le routine di crittografia."
CTB-Locker è il ceppo più recente di crypto ransomware che cifra i dischi rigidi delle vittime e chiede il pagamento di una “tassa”, di solito in Bitcoin , al fine di ottenere la chiave di decrittazione.
Il pagamento richiesto da CTB-Locker è di solito due o tre Bitcoin, e le vittime non hanno altra scelta ... Recuperare i dati crittografati è infatti del tutto impossibile.
I virus ransomware purtroppo stanno diventando uno dei malware più diffusi, lo scorso anno CryptoLocker ha infettato decine di migliaia di PC e ha generato milioni di dollari di entrate prima che le autorità chiudessero la botnet Zeus GameOver, che era stata utilizzato per diffondere il malware.
Le principali caratteristiche del ransomware CTB-Locker sono l'uso di crittografia a curva ellittica per crittografare i file degli utenti e della rete Tor per nascondere le infrastrutture di comando e controllo
"Nascondere i server di comando e controllo in una rete anonima Tor complica la ricerca dei criminali informatici, e l'uso di un sistema di crittografia non ortodossa rende impossibile la decrittografia dei file, anche se il traffico viene intercettata tra il Trojan e il server," ha dichiarato al Daily lo scorso anno Fedor Sinitsyn, un analista senior dei laboratori Kaspersky.
"Tutto questo rende CTB-Locker una minaccia altamente pericolosa e uno degli encryptor tecnologicamente più avanzati."
La nuova variante del CTB-Locker (elencato come Trojan-Ransom.Win32.Onion dagli esperti di Kaspersky Lab) include altre caratteristiche interessanti secondo Sinitsyn: CTB-Locker offre infatti alle sue vittime una sorta di 'demo di prova' che consente loro di scegliere cinque file da decifrare senza pagare il riscatto . Il malware è inoltre disponibile in tre nuove lingue per colpire gli utenti nei Paesi Bassi, in Germania e in Italia.
CTB-Locker è anche in grado di eludere il rilevamento e l'analisi operata dai ricercatori attraverso ambienti virtuali. Invece di collegare direttamente a Tor, CTB si collega in proxy attraverso dei servizi di anonimizzazione aggiuntivi al fine di complicare ulteriormente gli sforzi per il tracking e takedown.
Un'altra particolarità del ransomware CTB-Locker è la quantità di tempo limitato che il malware dà alle vittime, al fine di inviare il pagamento: non più di quattro giorni.
Come proteggere i nostri sistemi?
Dato che i dati crittografati sono irrecuperabili, l'unico modo per ripristinare il sistema è quello di avere un backup recente. Per evitare di essere infettati gli utenti necessitano di un efficace soluzione antivirus e devono essere sicuri che tutte le loro applicazioni e sistemi operativi siano aggiornati con le più recenti patch di sicurezza.
Si possono recuperare i dati?
Come scritto in questo articolo, è stato riscontrato in alcuni casi che i files originali sono stati semplicemente cancellati dal malware ed è stato così possibile recuperarli con dei tool per il recupero files eliminati. Vale la pena di fare un tentativo.
Liberamente tratto da SecurityAffairs
Virus - CryptoLocker - RansomWare - Perdita Dati
Treviso Padova Vicenza Castelfranco Montebelluna Bassano Crocetta Valdobbiadene