Come provare a difendersi dal virus CTB-Locker e tentare di recuperare i dati criptati

Ormai da molto tempo uno dei principali, e più pericolosi, virus in circolazione è quello del tipo ramsonware, l’Italia è un paese preso molto di mira da questi distributori di malware.

Prima è stato il virus della polizia postale, con tutte le varianti legate alle varie forze di sicurezza, e per un periodo si è preso in ostaggio il computer bloccando l’accesso al desktop dell’account di Windows, ora si mira di più a criptare i dati personali degli utenti, gli si propone un ultimatum entro cui pagare, pena la perdita di tutti i dati, con un bel conto alla rovescia per sollecitare lo sventurato e costringerlo a pagare.

Le cifre non sono in genere elevatissime, qualche centinaio di euro, o meglio di Bitcoin visto che sembra preferiscano farsi pagare con questa moneta e i soldi spariscono in qualche lontana banca di qualche remoto paese.

Una volta pagato l’utente riceve un eseguibile, o almeno le istruzioni su dove trovarlo, per decriptare tutti i suoi dati.

Quando i file sono stati criptati non vi è, al momento, nessun modo sicuro per decriptarli e recuperarli se non quello di usare il tool creato dai ricattatori.

L’unica speranza è legata al fallimento, per qualche motivo, delle operazioni di criptatura da parte del virus in modo che rimangano delle tracce, recuperabili, dei nostri file. Ma di come provare (forse inutilmente) a recuperarli ne parleremo più avanti nell’articolo.

Le istruzioni che fornirò nel resto dell’articolo sono ricavate da alcuni “incontri ravvicinati” con il virus e da informazioni trovate nei messaggi di altri sventurati colpiti dall’infezione. Non posso garantire che vadano bene per tutte le varianti del virus, presenti e future, anche se, da quello che ho visto, per il momento non presenta ancora grosse modifiche, si limitano a cambiare l’eseguibile e affinare quanto hanno già imparato.

L’ultima variante, arrivata via posta il 4 Marzo, del virus si presenta come una presunta spedizione del corriere UPS, in allegato il file Details.zip che contiene un eseguibile con l’icona di un file PDF.

Le precedenti varianti, che avevo visto, utilizzavano delle presunte spedizioni SDA o dei rimborsi di fatture per ordinativi mai fatti, il tutto presentava, quasi sempre, nomi di ditte italiane e mail scritte in un italiano piuttosto buono.

Purtroppo, molte (troppe) persone hanno aperto incautamente gli allegati di queste mail infettando il loro computer e criptando, irrimediabilmete, i loro file personali.

L’infezione non è, in genere, un grosso problema rimuoverla, al limite basta aspettare qualche ora che le definizioni del vostro antivirus vengano aggiornate ed eseguire una scansione completa del pc, oppure si può sempre scaricare Kaspersky Removal Tool, o programma equivalente, per fare un controllo del pc.

Il problema si pone nel recupero dei file criptati che è, al momento, decisamente complicato.

Vediamo quindi qualche possibile metodo per prevenire il problema e tentare di recuperare qualcosa dal computer.

Prevenzione

• Un antivirus sempre aggiornato. Il problema si pone quando il virus è nuovo di zecca, uno zero-day, e non è ancora incluso nelle sue definizioni e può agire indisturbato. Quindi un buon antivirus da solo non basta.
• Non aprire le mail, e gli allegati, degli sconosciuti. Si può sempre provare a visualizzare le mail in anteprima, senza scaricarle sul computer, in modo da eliminare quelle più sospette.
• Backup periodici dei dati personali. Da eseguirsi regolarmente, mediante appositi programmi, su un disco esterno che deve essere staccato poi dal computer ogni volta. Al limite, magari dopo averli criptati noi stessi, utilizzare dei servizi esterni come Dropbox per salvare una seconda copia dei dati. Questo tipo di virus è in grado di criptare i dati su dischi esterni collegati al computer, unità di rete, cartelle condivise e server di rete.
• Utilizzare degli account di Windows che non siano amministratori del computer. Questo accorgimento, non ho avuto modo di provarlo di persona, dovrebbe impedire al virus di cancellare le copie shadow dei file e quindi permettervi di recuperare qualche versione precedente dei vostri file.
• Utilizzare un software dotato di hips. Anche se molti sono contrari a questo tipo di programmi la funzione HIPS di Comodo Firewall, per esempio, vi potrebbe avvisare di qualsiasi attività sospetta che avviene nel vostro computer, quindi creazioni/avvio di nuovi eseguibili, modifica inattesa di chiavi di registro protette, collegamenti strani a Internet. Poi dovete essere voi a capire che qualcosa non va bene e bloccare le modifiche sospette.

• Regole di gruppo. Un interessante programma che riesce a impedire l’avvio di file eseguibili da determinate cartelle, tipo l’esecuzione automatica, la cartella Appdata, o la Temp, del vostro account di Windows, è Cryptoprevent di FoolishIT.com. E’ poco che ho scoperto, e provato, questo programma, non ho idea se, nel lungo periodo, possa causare più problemi che reali benefici. Spiegherò dopo il perché. Il programma deve essere installato, è disponibile in versione gratuita, dalle funzioni ridotte, per tutti gli utenti, chi vuole acquistare la licenza disporrà di tutte le possibilità di protezione offerte da CryptoPrevent. Al momento dell’installazione di CryptoPrevent rispondete di No per due volte.

Una volta avviato il programma si presenterà la prima schermata, a sinistra, dove varierà il numero delle definizioni e quello delle protezioni applicate. Subito dopo si potranno scegliere i livelli di protezione, con Basic e Default io riuscivo a lanciare degli eseguibili dalle cartelle protette, mentre i risultati migliori li ho ottenuti con il Maxiumum Protection.

Partirà un aggiornamento delle policy che si concluderà con una richiesta di riavviare il computer.

E qui veniamo ai possibili problemi di CryptoPrevent, lui blocca tutti gli esegubili, quindi anche regolari installazioni o aggiornamenti di altri software che dovessero avviarsi dalle cartelle bloccate dal programma.

Si possono togliere, momentaneamente le protezioni e fare l’installazione che ci serve, bisogna però vedere il suo comportamento nel caso di aggiornamenti automatici di determinati software installati nel computer. E’ da provare meglio, e più a lungo, ma sembra essere interessante.

Qui vediamo in azione CryptoPrevent contro un virus e un altro normale programma come Directory Monitor.

Recupero dei dati

E qui comincia la parte più dolorosa dell’infezione, diamo per scontato che avete eliminato il virus e quindi dovete tentare di recuperare, forse inutilmente, qualcosa.

Se il virus ha agito indisturbato, cioè l’antivirus non lo ha riconosciuto, non era presente nessun software Hips e l’account di Windows aveva permessi amministrativi, è probabile che non ci sia niente di recuperabile e che sia tutto criptato.

Da quello che ho letto, e sperimentato, il virus cripta tutti i file personali, cancella i punti di ripristino di Windows e riesce a cancellare, in maniera definitiva, lo spazio libero del vostro disco fisso in modo da rendere impossibile un eventuale recupero di file che erano in quella zona di disco e che noi avevamo eliminato in precedenza.

Se qualcosa è invece andato storto durante le operazioni compiute dal virus, forse, qualcosa si riesce a recuperare.

Nel mio caso il virus si doveva essere bloccato mentre tentava di criptare un file Pst di posta, di venti gigabyte, e questo ha consentito di salvare un altro file Pst con i messaggi più recenti, altre persone dicono di essere riusciti a recuperare, tramite appositi programmi, dei file che avevano cancellato in precedenza, alcuni sono riusciti a estrarre file dalle versioni precedenti salvate da Windows nei punti di ripristino.

Quindi un tentativo, con programmi di recupero dati come Recuva, o altri software per recupero file, Shadow Explorer per andare a cercare file nei punti di ripristino di Windows, lo si può sempre fare.

L’importante è utilizzare programmi portable e salvare gli eventuali file recuperati in un disco esterno in modo da non sovrascrivere niente nel disco del nostro computer.

Ripeto, può essere un tentativo inutile, potete non ritrovare tutto, però l’unica alternativa è di pagare il riscatto.

Per il momento, è tutto quello che posso dirvi su questo virus, cercherò di tenere aggiornato l’articolo se ci saranno delle novità e altre esperienze da condividere.