www.MegaLab.it

Sul nostro portale abbiamo trattato in passato la diffusione di un nuovo tipo di malware, sfruttato principalmente a scopo d'estorsione ai danni dei malcapitati utenti: i Ransomware.

Finora questo tipo di virus era appannaggio degli utenti casalinghi di Windows, che spesso si infettavano visitando siti compromessi (anche legittimi, ma trasformati in "untori").

Stavolta i cracker hanno puntato più in alto: un nuovo ransomware ha iniziato a propagarsi in queste settimane a velocità impressionanti, colpendo in particolare le reti aziendali gestite da Windows Server e sfruttando le debolezze di tale sistema nello stabilire connessioni remote.

Il ransomware è identificato con tale nomenclatura: Trojan.ArchiveLock.20

Metodica di diffusione e vulnerabilità sfruttate

Il virus non è stato diffuso da un sito untore o via P2P, quindi non esiste un vero "0-Day" per tale minaccia.

I cracker si sono occupati di inserire il malware direttamente dentro i sistemi potenziali (Windows Server), sfruttando una vulnerabilità del protocollo RDP e prendendo il controllo totale del sistema.

Una volta inserito, il malware rimane latente ed invisibile all'amministratore di sistema.

I cracker si sono occupati di avviare i malware "a distanza", risvegliando i terminali infettati.

Il malware "attivato" si occupa di comprimere e cifrare numerosi file presenti nel sistema, utilizzando un archiver WinRAR per la compressione e la cifratura, ottenendo così un elevato livello di sicurezza (password casuali a 50 caratteri, con codifica diversa per ogni utente infettato).

Infine il malware mostra una schermata d'avviso, bloccando l'utilizzo dell'interfaccia.

Richiesta di estorsione in piena regola.

Come ultimo "regalo" il malware si occupa di cancellare tutti gli eventuali backup presenti nel sistema (Punti di ripristino inutilizzabili più altri backup).

Metodi di rimozione e decriptazione file, aggiornamenti d'emergenza e possibili rimedi

Il malware (e la relativa schermata d'avviso) possono essere eliminati con facilità con qualsiasi cleaner o antivirus, ma i file criptati restano dove sono, mettendo a rischio l'integrità e la privacy dei documenti e dei file custoditi sui server.

AVVERTENZA: Allo stato attuale (28/03/2013) non è possibile decriptare i file criptati dal ransomware. Vi terremmo aggiornati non appena ci saranno novità.

Molti esperti e laboratori di sicurezza sono al lavoro per ricavare l'algoritmo di codifica utilizzato, ma la sfida si sta dimostrando piuttosto ardua.

È altamente consigliabile non cedere al ricatto, in ogni caso: le cifre richieste per sbloccare i file sono alte (anche 5000 dollari), non c'è la certezza del funzionamento del codice fornito e si cede al gioco di questi criminali.

Se siete tra i malcapitati admin o utenti infettati dal ransomware, non resta che aspettare risposte positive dalle software house specializzate in security.

Non siete ancora stati infettati? Provvedere a bloccare ogni tipo di connessione RDP e le comunicazioni della relativa porta (3389) tramite firewall.

Verificare in ogni caso di aver installato tutti gli aggiornamenti di sistema, che contengono anche la patch per risolvere la vulnerabilità sfruttata da tale malware.

Per maggiori informazioni è possibile visitare anche il topic sul ransomware, nella sezione Sicurezza del nostro forum.