Indice dei Contenuti
Il ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta e chiede il riscatto per rimuoverne la limitazione. Si è cominciato qualche anno fa con dei ransomware che si avviavano con il sistema operativo rendendo di fatto impossibile utilizzarlo, come ad esempio il famoso ransomware della polizia di stato o simili. Ad oggi siamo arrivati a due tipi di ransomware, ovvero:
- ransomware che crittano l’intero contenuto del disco, richiedendo un riscatto in BitCoin tramite rete TOR per la decrittazione
- ransomware che crittano l’MBR del disco, rendendo di fatto impossibile l’accesso al disco ed ai suoi dati. Anche in questo caso, viene richiesto un riscatto in BitCoin tramite rete TOR (Considerazioni: Petya Ransomware: temibile e diverso dai soliti ransom)
L’ultimo tipo è il più temibile ed il più recente. A questo punto sorge spontanea la domanda: è possibile difendersi? Vediamo cosa è possibile fare PRIMA in materia di prevenzione
In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:
- mantenere i , utilizzando come di consueto Windows Update
- mantenere i , ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza
- accedere al sistema con un (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati
- , rispettando i requisiti di complessità (vedere qui)
- eseguire delle del sistema
- ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
- eseguire dei dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete.
E nel caso malaugurato che siamo stati infetti? Come possiamo procedere? C’è un modo per recuperare i nostri dati?
In questo ambito ci viene in aiuto uno strumento online dedicato a riconoscere il tipo di ransomware che ci ha infettato: basterà eseguire l’upload di un file criptato (non un file personale) o della schermata di blocco che visualizziamo dopo l’infezione. Lo strumento rileva fino a 178 ransomware differenti tra cui troviamo i famosi TeslaCrypt, Crytowall ecc. Il sito è il seguente:
In alcuni casi NON è possibile recuperare i dati, come nel caso del Petya Ransomware , ma in altri casi vi sono degli strumenti che ci aiutano a tornare in possesso dei nostri dati.
[table id=7 /]
Di seguito alcuni strumenti di de-crittazione forniti da Kaspersky Labs per i seguenti malware:
- Use the special utility RakhniDecryptor
- Use the special RectorDecryptor utility
- use the utility RannohDecryptor
- Use a special ScatterDecryptor utility
- use the XoristDecryptor utility
- Use the special ScraperDecryptor utility
Verranno aggiunti collegamenti a nuovi strumenti di recupero quando saranno disponibili.
Riguardo il secondo tipo di ransomware, ovvero , vanno elaborati i passaggi di infezione, che sono:
- avvio dell’infezione tramite una mail di SPAM (solitamente tentativi di phising)
- il malware viene caricato in memoria
- viene provocata una schermata di errore forzata che obbliga il sistema al riavvio
- dopo il riavvio viene mostrata una schermata di finta esecuzione di chkdsk del sistema
- durante questo processo, viene eseguita la vera e propria criptazione dell’MFT e sostituzione del boot loader
- infezione avvenuta, richiesta di “riscatto” tramite BITCOIN
L’infezione VERA E PROPRIA avviene nel secondo passaggio, ovvero quando viene eseguito il finto chkdsk che completerà l’infezione. Come prevenirlo?
- Disabilitare il riavvio automatico del sistema: WIN + R > digita “sysdm.cpl” e dare invio > Avanzate > impostazioni Avvio e ripristino > togliere la spunta da Riavvia automaticamente
- Ora c’è una procedura da seguire, abbastanza articolata, CONSIGLIATA SOLO PER UTENTI ESPERTI: Petya key decoder | hasherezade’s 1001 nights – Decodificatore per PRIMO PASSAGGIO (Prima del CHKDSK) here
E’ disponibile una procedura e degli strumenti per il recupero dei file: verificare i passaggi indicati in questo articolo
Cit: “Petya Sector Extractor
In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l’infezione.
Grazie a leostone e a Fabian Wosar per gli strumenti”
Per approfondimenti in merito i ransomware e i BitCoin invito a leggere questo post Ransomware e i BitCoin: considerazioni, dati e prevenzione
Articolo originale: Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Cryptolockers (Aggiornato al 31 Marzo 2016) ~ L’angolo di Windows e di Arduino
Avete altri strumenti che avete usato per recuperare i vostri file? ditelo nei commenti.