cryptolocker come limitare il rischio
TRANSCRIPT
CRYPTOLOCKER: Come limitare il rischio
Cos’è il Cryptolocker Il Cryptolocker è il malware che, una volta insediatosi sul sistema, “prende in ostaggio” tutti i
file personali dell’utente memorizzati sul personal computer.
Nello specifico si tratta di un trojan comparso nel tardo 2013. Questo virus è una forma di
ransomware infettante sistemi Windows, consiste nel criptare i dati della vittima con una chiave
di cifratura RSA 2048Bit asimmetrica funzionante solo via internet e richiedere un pagamento
per la decriptazione, mediante circuito monetario anonimo, denominato “Bitcoin”.
Il Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime
dicono di aver pagato l’attaccante ma di non aver visto i propri file decifrati.
Funzionamento Cryptolocker generalmente si diffonde come allegato di posta elettronica apparentemente
lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un
computer già facente parte di una botnet.
Un semplice esempio potrebbe essere quello di ricevere un’email contenente come allegato
una fattura o un ordine specifico. Questo può portare ad inganno, credendo che la
comunicazione che ci si presenta sia innocua.
Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, colloca
il Cryptolocker.
Al primo avvio, il software si installa nella cartella Documents and Settings con un nome casuale
e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di
connettersi a uno dei server di comando e controllo e una volta connesso genera la chiave RSA.
Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate
localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro.
Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento con un voucher
anonimo prepagato per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore o
altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare
i file”.
Come limitare il danno L’unico modo di ottenere nuovamente i propri documenti è quello di pagare il riscatto se non
recuperando i dati da un backup.
Per tali motivi seguendo determinat e politiche di sicurezza, si potrà creare una
condizione di protezione della vostra infrastruttura.
Di seguito, sarà presentato un esempio di protocollo da poter seguire in caso di attacco
1. COMUNICAZIONE DI SERVIZIO AZIENDALE: mediante un email
2. PERMESSI UTENTE SULLA POSTAZIONE: restringendo la funzione dei permessi in modo
che gli utenti non abbiano la possibilità di poter accedere alle funzioni di
amministrazione delle macchine.
Questo permette di restringere il campo d’azione del virus sulle cartelle di sistema, ma
non sull’esecuzione dei vari componenti comunemente installati.
3. DISABILITARE LE IMPOSTAZIONI DI AUTORUN: mediante l’accesso al “registry editor”
come amministrazione. Successivamente, posizionarsi sulla chiave di registro e
disattivare l’autorun impostando la dword su “0”.
Gentili colleghi, Con la presente si segnala il ritorno in attività di un tipo di virus molto pericoloso che rende inaccessibili tutti i dati della vittima. I dati non vengono cancellati ma “presi in ostaggio” e rilasciati solo dopo pagamento di denaro. In questo caso è importante lavorare i file più utilizzati, sulle vostre unità di rete assegnate e non sul desktop. Si consiglia di stare particolarmente attenti ad allegati sospetti che si ricevono via email. E’ opportuno porsi le seguenti domande: • conosco il mittente? Lo stile di scrittura è il suo? (Spesso queste email sono sgrammaticate o senza testo) • sto aspettando da quel mittente un allegato? • il file che mi chiedono di scaricare ha un’estensione sospetta? Perché una fattura è in formato ZIP e non in PDF? • se l’email mi rimanda ad un sito per scaricare un file, il sito corrisponde con il mittente? (Tenere conto dell’indirizzo della pagina) In caso di difficoltà è importante farne comunicazione via email, la quale siamo disponibili per approfondimenti ed interventi di verifica. Buona Giornata Assistenza informatica Contoso LTD
4. IMPOSTARE SHADOW COPY SULLE POSTAZIONI: è possibile accedere a questa funzione
sui sistemi operativi Windows 7 e successivi. Di seguito saranno mostrati i passaggi da
effettuare.
5. MUNIRSI DI SOLUZIONI ENDPOINT/ANTIVIRUS: alcuni sistemi di endpoint possono limitare
i permessi di utilizzo per le varie applicazioni, infatti, si può fare in modo, ad esempio,
che il componente java una volta eseguito non abbia permessi di lettura e scrittura sulle
cartelle di sistema (%SYSTEMROOT%, %WINDIR%, %WINDIR%\system32,
%WINDIR%\system).
Cosa importante è quella di valutare se il vostro antivirus è aggiornato e successivamente
applicare filtri di
download protection;
intrusion prevention;
motori euristici;
Web filtering.
6. TUNING RULES SUL SERVIZIO ANTISPAM E-MAIL: applicando una regola di ingresso alla
condizione che le mail ricevute, con allegati *.CAB *.exe *.dll *.vbs *.bat *.cmd *.ink, saranno
messi in quarantena per supervisione dell’amministratore di sistema.
Conclusioni C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà
in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo
spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza
efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in
grado di limitare il possibile attacco.
Mario Mancini
IT System administrator
Twitter: @_mariomancini
LinkedIn: http://it.linkedin.com/in/mariomancini