In quasi tutto il 2014 e con maggiore intensità negli ultimi mesi, il trojan TorrentLocker ha attaccato i PC di aziende e utenti in tutto il mondo.
I malcapitati si sono visti richiedere poi un riscatto in Bitcoin.
Il virus è un potente Ransomware, una specifica categoria di malware, non nuova nel panorama degli attacchi informatici: nel 1989 il trojan AIDS richiedeva 189 dollari agli utenti per poter sbloccare i file colpiti da ogni attacco, mentre CryptoLocker, antenato di TorrentLocker attivo nel 2013, ha attaccato circa 250.000 computer in tutto il mondo.
TorrentLocker è stato rilevato per la prima volta nel febbraio 2014 e, nei mesi a seguire, ha attaccato computer di enti, aziende e privati in Italia, Regno Unito, Irlanda, Francia, Germania, Olanda, Spagna, Repubblica Ceca, Turchia, Australia, Nuova Zelanda.
il virus ha infettato oltre 40.000 sistemi e 600 vittime e circa il 2% del totale, hanno pagato il riscatto ai cyber criminali.
L’ammontare della somma ricavata dai riscatti è oltre 585.000 dollari in Bitcoin.
Fino ad ora, sono stati criptati almeno 284.716.813 documenti.
Gli hacker fautori di TorrentLocker potrebbero essere gli stessi autori del trojan bancario HesperBot.
COME FUNZIONA E COME SI DIFFONDE
TorrentLocker (Win32/Filecoder.DI) cripta i documenti dei computer attaccati per richiedere alle vittime del cyber crimine di pagare un riscatto per tornare ad avere accesso ai propri file, attraverso il download del software di decriptazione.
Il malware agisce solitamente a seguito dell’invio di una e-mail contenente un link a un presunto contratto, o a una bolletta o fattura da pagare.
Una volta aperto, il link porta al download di una cartella compressa contenente un finto file pdf: in realtà, si tratta di un programma eseguibile (la finta estensione .pdf nel nome del file è seguita da una lunga riga che esce dalla schermata e nasconde un’estensione .exe).
I messaggi sono personalizzati in base al Paese della vittima e il riscatto viene richiesto in Bitcoin proprio per nascondere il Paese di origine dell’hacker: ora, addirittura, TorrentLocker utilizza uno specifico account Bitcoin per ogni singolo attacco.
SINTOMI INFEZIONE
All’improvviso, buona parte dei documenti presenti nella rete e sui PC diventano illeggibili.
I PC funzionano, i documenti sono ancora al loro posto ma non si aprono.
Nelle cartelle, insieme ai documenti, compaiono dei file dal nome preoccupante “DECRYPT_INSTRUCTIONS.html”.
Contemporaneamente, compare sullo schermo del computer un messaggio che dice:
“ATTENZIONE, abbiamo criptato vostri file con il virus CryptoLocker. I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus CryptoLocker. L’unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi. Attenzione: La rimozione di CryptoLocker non ripristinare l’accesso ai file crittografati. Clicca qui per pagare per i file di recupero“.
Il danno non si limita ai soli PC, alcuni servizi della rete informatica vengono bloccati, perché i dati su cui i server lavorano non sono più utilizzabili.
Il trojan, mostra una via d’uscita, dopo avere infettato il PC e reso inutilizzabili i documenti.
Ovvero pagare 400 euro entro tre giorni, trascorsi i quali il “riscatto” raddoppia raggiungendo gli 800 euro.
Il pagamento può avvenire soltanto tramite la nuova valuta digitale Bitcoin, non tracciabile e per questo motivo ideale per attività illecite.
Come ci si infetta? L’attacco come detto arriva tramite messaggi di posta elettronica che contengono riferimenti a fatture di acquisto o debiti da pagare.
Per un po’ non succederà nulla, poi comparirà la richiesta da parte di un fantomatico “virus CryptoLocker” di confermare l’esecuzione di un software come Amministratore ma sarà già troppo tardi: che lo si confermi o meno il trojan ha già agito eliminando tutti i documenti e convertendoli con una versione codificata e illeggibile, mostrando quindi sullo schermo una preoccupante schermata.
DECIFRARE CRYPTOLOCKER
Il trojan si presenta come “CryptoLocker”, un virus malevolo ben noto di cui la società olandese Fox-IT è anche già riuscita a creare una sorta di antidoto per riappropriarsi dei propri file senza pagare, accedibile gratuitamente all’indirizzo www.decryptolocker.com
Dello stesso trojan era poi nata in estate una evoluzione, chiamata “TorrentLocker”, per la quale anche era stato sviluppato un sistema di decifratura gratuito che pare non funzionare.
RISCATTO
L’indirizzo Bitcoin verso il quale pagare il riscatto questa volta è unico, diverso per ogni vittima.
Le versioni precedenti del trojan, note anche come CryptoWall 2, richiedevano di pagare il riscatto verso un numero limitato di conti, identici per tutte le vittime.
Il riutilizzo degli indirizzi per diverse vittime faceva sì che, per dimostrare l’avvenuto pagamento, la vittima dovesse indicare l’ID della transazione ai delinquenti, che tramite questo verificavano se la cifra trasferita era corretta.
Questo rappresentava un ostacolo poiché le vittime dovevano aprire un wallet, caricarsi i Bitcoin necessari per pagare il riscatto tramite servizi online di exchange, trasferire i fondi sull’indirizzo dei criminali e comunicare l’identificativo della transazione.
Non era possibile, cioè, richiedere direttamente ai servizi di exchange di eseguire il pagamento, perché questi servizi in genere non forniscono l’ID della transazione, limitandosi a trasferire i fondi sull’address indicato.
In pratica, una vittima poteva usare per sbloccare i propri file il pagamento fatto da un’altra vittima, che ancora non aveva indicato l’ID della transazione ai criminali.
Questo perché la blockchain è pubblica, chiunque poteva vedere le transazioni e copiare gli ID, fornendoli poi ai delinquenti che non erano in grado di distinguere un pagamento da un altro, purché la cifra fosse sufficiente.
Con il nuovo sistema utilizzato da questa versione di TorrentLocker, ad ogni vittima viene indicato un unico conto su cui versare il riscatto in Bitcoin.
Il conto viene monitorato in tempo reale dai delinquenti che, nel momento in cui rilevano un pagamento, fanno due cose:
a) Verificano che l’importo versato sia maggiore o uguale alla richiesta di riscatto.
In caso negativo, sulla pagina di verifica comparirà l’esatto importo ancora da versare per ottenere la decifratura e quindi lo sblocco dei propri file.
b) Se l’importo è sufficiente, forniranno il link al software di decodifica che, lanciato sul computer infettato, decripterà i file rimuovendo le tracce dell’infezione.
TORRENTLOCKER DECRYPTION SOFTWARE
I criminali tengono sotto monitoraggio il conto Bitcoin fornito alle vittime e, nell’istante in cui avviene il pagamento, rigirano la somma verso un conto terzo, presumibilmente un money laundering service utilizzato per far perdere le tracce della transazione.
Il software per decifrare i file criptati da TorrentLocker viene fornito tramite link accedibile da rete anonima TOR.
Il programma si chiama sempre “Decryption_Software.exe”e, come per la versione precedente di CryptoLocker, esegue la decifratura in tempo reale riportando i file nello stato in cui si trovavano prima dell’infezione del trojan.
L’indirizzo email dell’assistenza per il pagamento del riscatto è sempre lo stesso, decrypthelp@mail15.com, così come i server che i criminali utilizzano per ospitare il loro centro di controllo (Command & Control).
La decifratura tramite”Decryption_Software.exe” dovrebbe funzionare anche se si legge che non tutti i file vengono decriptati correttamente.
In particolare, diversi PDF e alcuni RTF sono risultati parzialmente corrotti.
Utilizzando degli strumenti come la suite gratuita e open source Poppler (disponibile per linux, per Mac OS X tramite MacPorts e per Windows) è possibile correggere gli errori nella codifica del PDF decriptato da CryptoWall e permetterne la visualizzazione.
Nessun commento:
Posta un commento