Abbiamo visto come provare a ripulire un computer infettato dal virus TeslaCrypt, come provare a impedire l’infezione con CryptoPrevent, ora cercheremo di analizzare le varie fasi dell’infezione e di come un virus Cryptolocker attacca il vostro computer e cripta tutti i documenti personali.
La prova è stata fatta su un computer con Windows Vista, privo di antivirus, con Comodo Firewall e funzione hips attiva per controllare le richieste di modifiche al registro e i comportamenti anomali, Directory Monitor per verificare la creazione di nuovi file e Moo0 Connection Watcher per verificare l’avvio di nuove connessioni a Internet da parte del virus.
Esistono numerose varianti del virus, io ne avevo tre recenti a disposizione, non è detto che il comportamento sia sempre quello che elencherò nell’articolo, ma è quello che ho potuto riscontrare di persona sino a ora.
La mail infetta
L’infezione iniziale arriva via mail, un piccolo allegato, un messaggio, all’apparenza, proveniente dal nome di un contatto conosciuto (e ritenuto sicuro) ma fasullo, una volta estratto il contenuto dell’archivio allegato alla mail, l’utente avvia il file .js, credendolo un file sicuro e l’infezione inizia.
Il testo della mail può riguardare dei debiti/crediti di qualsiasi tipo, spedizioni di qualche oggetto e solleciti a leggere documenti importanti, ultimamente ho visto dei messaggi senza testo o solo con la data nella mail.
Non aprite mai l'allegato, non rispondete alla mail, piuttosto chiedete, in altri modi, al presunto mittente se vi ha veramente inviato quel messaggio.
“E’ l’antivirus non mi protegge?”
Purtroppo l’antivirus, anche quello ritenuto più sicuro e aggiornato, può fare poco (o nulla) contro dei file infetti nuovi, gli zero-day, che hanno un riconoscimento molto basso per non dire nullo.
Questo è il report di Virustotal.com il giorno stesso in cui è arrivato via mail il file.
Dopo alcuni giorni è leggermente più riconosciuto, ma non poi così tanto, da due siamo passati a dodici antivirus.
Se vi interessa vedere il testo contenuto nei file .Js e l’analisi fatta da Hashcat, per capire come funzionano i file, vi invito a leggere questa discussione.
Dopo aver avviato il file .js cominciano ad apparire le richieste di modifiche al registro di Windows.
Poi si avviano i tentativi di collegamento a Internet da parte del file, che è un downloader, il cui scopo è scaricare il resto dell’infezione.
Il file js ha molto spesso un nome che inizia per invoice_copy, nel secondo caso aveva il nome e cognome della persona cui era stata inviata la mail.
Il file .js è solo l’inizio dell’infezione che ha bisogno di altre componenti per proseguire il suo lavoro. Partono quindi una serie di collegamenti verso indirizzi che ospitano eseguibili infetti da scaricare nel computer della vittima.
Come visto più volte in passato, questi indirizzi distributori di malware, o di phishing, tendono a scomparire nel giro di pochissimi giorni se non di ore.
Ora il virus vero e proprio si trova nel computer ed entra in azione.
A volte basta un solo eseguibile, altrimenti crea delle copie di se stesso, o crea dei file dall’estensione .scr, e manda il tutto in esecuzione.
Sino ad ora questi file li ho sempre trovati nella cartella dell’account, magari più nascosti in qualche cartellina dallo strano nome.
E comincia la modifica di chiavi di registro e di qualche file importante. Per sapere cosa può aver modificato conviene spedire i file infetti a Threatexpert.com e vedere nel report generato cosa può essere successo.
Si avvia poi il controllo di tutti gli applicativi attivi in memoria, se trova qualcosa di “sgradito”, il virus lo termina.
Nel mio computer avevo attivi il Task Manager e Process Explorer per controllare i processi in corso, sono stati chiusi e non si riusciva più a riavviarli.
Inoltre il virus agisce su alcune funzioni di sistema per poter cancellare i punti di ripristino e le copie shadow dei file, inoltre sovrascrive lo spazio libero nel disco in modo da rendere impossibile il recupero di qualche file cancellato in precedenza.
E subito dopo parte la creazione dei file con le istruzioni del riscatto, i vari help_recover_instructions*.*, in tutte le cartelle contenenti un file criptato, inoltre si criptano i file che assumono l’estensione .micro (può cambiare a seconda della variante del virus).
Nella foto vedete il log del disco F, dove avevo pochi file, ma nel disco C il virus crea qualche migliaia di file criptati e di copie delle istruzioni.
Durante questa fase l’utilizzatore del computer vede le icone dei documenti personali cambiare e può notare un’intensa attività del disco fisso per molti minuti, in questo momento avevo tentato di spegnere il mio computer di test ma non ci riuscivo.
Se non si riesce a fare altro, l’unico tentativo, per tentare di salvare qualcosa, è di tenere premuto il pulsante di accensione per alcuni secondi, fino allo spegnimento del computer, oppure di staccare la spina e poi di riavviare il computer da un supporto di boot.
In alcuni casi il virus si posiziona in esecuzione automatica e, se non lo eliminate, al riavvio del computer potrebbe ripartire la creazione e criptazione dei file appena menzionata.
Una volta terminata questa frenetica attività di creazione/modifica dei file il virus si connette un attimo a Internet, suppongo per trasmettere la chiave segreta con cui sono stati criptati i file.
Dopo che il virus ha terminato il suo lavoro, si possono riaprire normalmente il Task Manager e Process Explorer.
In alcuni casi il virus si autodistrugge e cancella le copie dei suoi file che può aver creato in giro per il computer, il tutto per non lasciare nessuna traccia che possa far risalire ai creatori di questo ricatto.
A questo punto l’infezione è conclusa e iniziano a comparire le richieste di riscatto e “Congratulazioni!!! È diventato parte della grande unità di CryptoWall.” così vi accolgono i rapitori dei vostri file, perché “Ricorda che la cosa più terribile per i Suoi file è già successa e adesso soltanto dalla Sua capacità di decidere e velocità dipende il destino dei Suoi file.” in questo modo vi spingono a decidere in fretta e cedere al loro ricatto.
Ma non lo fanno per danneggiarvi, anzi vogliono educare le persone e rendere Internet un posto più sicuro: “La ditta CryptoWall non danneggia e non viene fatta per danneggiare la persona oppure i suoi dati personali. La campagna viene fatta soltanto con l’obiettivo di educare le persone nel campo della sicurezza dell’informazione, ed anche la verificazione dei prodotti delle ditte di antivirus dal punto di vista della loro capacità di difendere i dati. Facciamo l’Internet meglio e più sicuro insieme!”
Se siete caduti nella trappola del virus vi ricordo l’articolo su come ripulire un computer infetto, mentre se volete provare a prevenire il problema vi ricordo l’articolo su Cryptoprevent.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]