Un nuovo nuovo ceppo di ransomware colpisce computer senza sosta su larga scala da qualche giorno. Benché la maggior parte degli utenti infetti si trovi al momento in Germania, la superficie d’attacco sembra espandersi con sorprendente rapidità. Non è certo a questo punto quale sindacato del crimine cibernetico sia responsabile di tali attacchi, ma l’operazione con il trojan evidentemente riflette le peggiori pratiche di estorsione digitale. Ciò che succede è che i file personali della vittima vengono criptati, e i loro nomi si trasformano in sequenze senza senso di 32 numeri e caratteri seguiti dall’estensione .locky. Il sistema operativo preso di mira identifica tali oggetti come file LOCKY che non possono essere aperti a prescindere dal software a cui si fa ricorso.
Questa aggressione è inoltre caratterizzata da un certo numero di attributi distintivi oltre alla disgustosa compromissione dei file. Il ransomware modifica lo sfondo del testo dell’utente attaccato con messaggi di avviso, il cui testo viene reiterato nei file di nome _Locky_recover_instructions.txt. È plurale perché il sopraccitato documento TXT si può trovare all’interno di ogni singola cartella che conserva oggetti bloccati che utilizzano i dati personali dell’utente vittima. Si tratta essenzialmente di istruzioni per il pagamento di un riscatto che fanno luce su quello che è successo ai file e forniscono una guida per quanto riguarda le opzioni di recupero.
In particolare, il messaggio recita:
“!!! Informazione importante!!!! Tutti i tuoi file sono stati criptati con cipher RSA-2048 e AES-128. La decriptazione dei tuoi file è possibile soltanto tramite chiave privata e programma di decriptazione, che si trova sul nostro server segreto.”
In parole povere, questo significa che il virus con l’estensione file a .locky sfrutta un sistema di crittografia asimmetrico per criptare i file e anche un cipher simmetrico per codificare adeguatamente i nomi dei file.
Come risultato, la vittima non può aprire le proprie immagini, documenti e video e non può nemmeno determinare quale entrata corrisponda a quale file sul proprio hard disk. A questo punto, gli estorsori raccomandano una “panacea”, che affermano sia capace di decodificare ogni cosa in cambio di un pagamento. Si chiama Locky Decrypter. Per poter utilizzare questo strumento, la persona colpita deve visitare un Tor gateway specificato nel file _Locky_recover_instructions.txt ed inviare 0.5 BTC verso un indirizzo Bitcoin indicato sulla pagina. L’uso della tecnologia The Onion Router ed il flusso di pagamento tramite cripto-valuta sono le precauzioni che gli estorsori adottano per rimanere anonimi e per aggirare la legge. Sfortunatamente, la maggior parte di questi estorsori riesce a rimanere a piede libero e continua a coniare nuovi tipi di ransomware.
La propagazione del virus .locky si affida a una truffa di ingegneria sociale. In particolare, prima di venire infettate, la maggior parte delle persone ricevere messaggi nocivi e-mail dal titolo “ATTN: Invoice J-68522931” (le 8 cifre possono variare). Questi messaggi fingono di rappresentare fatture provenienti da General Mills, ma così non è. Il documento Microsoft Word allegato rappresenta l’oggetto che esegue il ransomware non appena l’utente ignaro lo apre. I kit di exploit, i quali generalmente rappresentano un metodo di contaminazione più sofisticato, non sono coinvolti nella campagna .locky al momento.
Non è una buona idea pagare il riscatto ed acquistare il programma Locky Decrypter. Questo è ciò per cui i cybercriminali insistono, ma certamente non è nei migliori interessi dell’utente colpito. Dato che questo ransomware potrebbe non riuscire a disabilitare il Servzio Volume Shadow Copy sulla macchina, ha senso applicare un paio di tecniche intelligenti per poter recuperare i dati criptati.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che l’estensione malware .locky applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d’occhio, eccetto naturalmente sottomettersi all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti – scoprite quali sono.
Software automatico di ripristino file
È piuttosto interessante sapere che l’infezione elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Data Recovery Pro possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Copie Shadow Volume
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Backup
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da questo ransomware sarà tanto semplice quanto accedere all’interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
In caso scegliate di aderire alla tecnica di pulizia manuale, alcuni frammenti del ransomware potrebbero essere rimasti come oggetti offuscati nel sistema operativo o nelle voci di registro. Per assicurarsi che non ci siano componenti nocive rimaste della minaccia, fate analizzare il vostro computer da una suite di sicurezza malware affidabile.