Visto che i virus cryptlocker continuano a imperversare e a mietere sempre nuove vittime, ho voluto dare un occhiata alle nuove varianti del virus e ad alcuni programmi che dovrebbero limitare, o impedire, l'infezione.
I programmi in questione sono Bitdefender AntiRamsonware, HitmanPro Alert 3, Malwarebytes anti-ransomware e Trend Micro AntiRansomware.
Il virus in azione
Rispetto a quanto visto con il virus Cryptlocker Tesla, a inizio Febbraio 2016, non è poi cambiato tantissimo.
Si parte da una mail con allegato un piccolo archivio che contiene un file dall'estensione .Js, o dalla doppia estensione (per esempio .pdf.js o ,jpg.js) così da provare a ingannare l'utente facendogli credere che si tratti di un documento o una foto.
Sono sempre presenti le false fatture di operatori telefonici, documenti di spedizione di corrieri italiani, presunte immagini di ammiccanti belle ragazze.
In una mail come questa non avevo l'allegato ma dovevo scaricare l'etichetta di spedizione da un sito Web, purtroppo non sono riuscito a vedere di cosa si trattava perché dopo un paio di giorni l'indirizzo non era più attivo.
Una volta che l'utente ignaro, e poco esperto, ha lanciato il file Js allegato alla mail, si avviano degli altri file eseguibili e vengono scaricati da Internet altre componenti del virus.
A questo punto l'eseguibile infetto, che cambia sempre nome se rilancio l'infezione iniziale, tenta di eseguire numerose funzioni di Windows, così da cancellare le copie shadow dei file e i punti di ripristino, chiudere il Task Manager e criptare i nostri documenti personali.
Per alcuni secondi si vede attivo un misterioso eseguibile e poi il Task Manager si chiude sino al termine della criptazione dei file. Solo dopo si riesce a riaprire.
A questo punto trovate un numero imprecisato, ma molto alto, di file Txt, immagini o file Htm che contengono la richiesta di riscatto con tutte le istruzioni per rientrare in possesso dei propri file criptati. Un eseguibile, che fa parte del virus, lo si può trovare dentro la cartella Documenti, o nella cartella Temp dentro il vostro account, più raramente (almeno nei casi che mi sono capitati) in esecuzione automatica così da avviarsi con il sistema operativo.
Gli stessi file con la richiesta di riscatto sono inseriti in esecuzione automatica così si aprono all'avvio del sistema operativo.
Una delle varianti del virus che avevo utilizzato mi ha mostrato, a un certo punto, una bolla di spedizione di due ditte italiane realmente esistenti. Viene da chiedersi dove si procurano certe informazioni e documenti.
Mentre in tutte le varianti precedenti del virus l'estensione del file veniva cambiata, questa volta non è stata modificata ma i file erano stati alterati e resi inaccessibili. Durante le prove svolte nell'articolo precedente, era bastato mettere i file in sola lettura per proteggerli, con questa variante non è servito a niente, li ha criptati senza problema.
Gli eseguibili, e anche i file .Js che danno il via all'infezione, sono scarsamente riconosciuti.
Anche il secondo eseguibile, quello dal nome che cambia sempre a ogni infezione, è a basso riconoscimento.
Il vostro antivirus difficilmente vi potrà essere d'aiuto, non è in grado di riconoscere il malware perché sempre nuovo e aggiornato.
Gli altri strumenti
Visto che l'antivirus, contro questo tipo di malware, serve a poco o niente, ho voluto provare alcuni altri programmi.
HitmanPro Alert
HitmanPro Alert è un prodotto a pagamento, il costo della licenza annuale è di 19,95 € per un computer, che controlla l'avvio di programmi di criptazione e riesce a bloccarli.
E' stato l'unico dei programmi provati a riuscire a bloccare il malware in azione prima che riuscisse a criptare i file personali.
Trend Micro AntiRansomware
Di Trend Micro AntiRansomware non sono riuscito a capirne l'utilità, o forse non avevo i virus giusti per provarlo, va a controllare i programmi sospetti in esecuzione automatica.
Dato che il virus non sempre si posiziona in esecuzione automatica per avviarsi con il sistema operativo, ma si limita a criptare i file e poi,a volte, cerca di cancellarsi da solo per non lasciare nessuna traccia, non vedo una grandissima utilità in questo programma.
Bitdefender Anti-Ransomware
Potrebbe essere molto interessante Bitdefender Anti-Ransomware che deve essere installato e rimane attivo in memoria a controllare la presenza del virus.
Peccato che la prevenzione sia limitata ad alcune varianti del virus rendendolo di fatto scarsamente utile.
Malwarebytes Anti-Ransomware
Per concludere segnalo Malwarebytes Anti-Ransomware attualmente in versione Beta, deve essere installato e rimane attivo in memoria, al momento sembra acerbo e con troppi falsi positivi. Da rivedere in futuro.
Conclusioni
Anche questa volta ci dobbiamo rendere contro che il nostro antivirus, per quanto installato e aggiornato, ci serve a poco, sono necessari degli strumenti aggiuntivi per proteggerci da questo tipo di malware. Le funzioni Hips di Comodo Firewall, per esempio, ci permetterebbero di bloccare l'infezione dall'inizio (sempre se siamo in grado di gestire i vari avvisi che compaiono). HitmanPro Alert sembra veramente ottimo, però è a pagamento quindi bisogna valutare se ne vale la pena.
La rimozione del virus, nella maggior parte dei casi, non è un grosso problema, qualche eseguibile da cancellare nella cartella Documenti o nella cartella Temp del vostro account, basta poi ricercare i file con le richieste di riscatto ed eliminarli.
L'unico sistema per garantire la salute e la continuità dei vostri documenti, rimane quello dei backup periodici su un supporto dati esterno al computer da collegarsi solo nel momento del salvataggio per non rischiare di criptare anche questo.
