Tutto Quello Che Devi Sapere Su Cryptolocker

in questa nuova guida di HelpRansomware scopri cos’è CryptoLocker, come funziona e cosa puoi fare per sbarazzartene.

rimuovere ransomware supporto gratuito helpransomware

Vuoi rimuovere il ransomware e recuperare i tuoi dati?

Contattaci per avere supporto gratuito immediato

Cos’è CryptoLocker?

CryptoLocker è un ormai noto malware particolarmente dannoso per qualsiasi organizzazione lavori con i dati.

Una volta che il codice viene eseguito, crittografa i file su desktop e reti condivise e li tiene in ostaggio, chiedendo a chiunque tenti di aprire i file di pagare un riscatto per decrittarli.

Per questo motivo, CryptoLocker e le sue varianti sono diventate note come ransomware.

Malware come CryptoLocker possono entrare in una rete protetta attraverso molti vettori, inclusi e-mail, siti di condivisione di file e download.

Le nuove varianti hanno eluso le tecnologie antivirus e firewall, ed è ragionevole aspettarsi che nel prossimo futuro ne verranno fuori altre in grado di aggirare le misure preventive.

Ciononostante, è altamente consigliato rafforzare i controlli di accesso in modo da limitare la portata dei danni causati da un host infetto e, allo stesso modo, attenti e ripetuti controlli investigativi e correttivi sono consigliati per creare una linea di difesa successiva.

Alla fatidica domanda: “Dovresti pagare il riscatto?” ha risposto l’esperto di Cyber Reputation and Security Andrea Baggio: ti anticipo che la risposta non è affatto scontata.

Cosa fa CryptoLocker?

All’esecuzione, CryptoLocker inizia a scansionare le unità di rete mappate a cui è connesso l’host per rintracciare cartelle e documenti, dopodiché rinomina e crittografa i contenuti che ha il permesso di modificare a seconda delle credenziali concesse dall’utente che esegue il codice.

CryptoLocker utilizza una chiave RSA a 2048 bit per crittografare i file e rinomina i file aggiungendo un’estensione, come .encrypted oppure .cryptolocker oppure .[7 caratteri casuali], a seconda della variante.

Infine, il malware crea un file in ciascuna directory interessata collegandola a una pagina Web che contiene le istruzioni di decrittografia che richiedono all’utente di effettuare un pagamento (spesso tramite bitcoin).

Vuoi rimuovere il ransomware in modo rapido e sicuro? HelpRansomware

Vuoi rimuovere il ransomware in modo rapido e sicuro?

HelpRansomware ha aiutato migliaia di aziende e amministrazioni a riprendersi da un attacco ransomware

I nomi dei file delle istruzioni sono generalmente DECRYPT_INSTRUCTION.txto DECRYPT_INSTRUCTIONS.html.

Man mano che vengono scoperte nuove varianti, la lista dei tipi di ransomware si aggiorna.

Ad esempio, una variante nota come CTB-Locker crea un singolo file nella directory in cui inizia per la prima volta a crittografare i file, denominati !Decrypt-All-Files-[7 caratteri RANDOM].TXT oppure !Decrypt-All-Files-[7 caratteri RANDOM].BMP.

Come prevenire CryptoLocker

Il danno che il malware può infliggere è proporzionato al numero di file ai quali ha accesso.

Come prevenire CryptoLocker helpransomware

Limitare l’accesso è quindi un accorgimento prudente che potrà farti ridurre la quantità di materiale che può essere crittografato: oltre a offrire una linea di difesa per il malware, mitigherà la potenziale esposizione ad altri attacchi da parte di attori interni ed esterni.

Sebbene raggiungere un modello con privilegi minimi non sia una soluzione rapida, è possibile ridurre rapidamente l’esposizione rimuovendo i gruppi di accesso globale non necessari dagli elenchi di controllo degli accessi.

Gruppi come “Everyone”, “Authenticated Users” e “Domain Users”, se utilizzati su contenitori di dati (come cartelle e siti di SharePoint), possono esporre intere gerarchie di utenti di un’azienda.

Sui file server queste cartelle sono note come “condivisioni aperte” nel caso in cui sia il file system che le autorizzazioni di condivisione sono accessibili tramite un gruppo di accesso globale.

Per trovare ed eliminare i gruppi di accesso globali puoi utilizzare tecnologie apposite; tuttavia è anche possibile individuare le condivisioni aperte creando un utente che non appartenga a nessun gruppo e utilizzando le credenziali di tale account per esaminare l’ambiente di condivisione dei file.

Anche i comandi net di base di una shell cmd di Windows possono essere utilizzati per enumerare e testare le condivisioni per l’accessibilità:

  • net view (enumera gli host vicini);
  • Anche net view \\host (enumera le condivisioni);
  • net use X: \\host\share (mappa una guida alla condivisione);
  • dir /s (enumera tutti i file leggibili dall’utente sotto la condivisione).

Le soluzioni ransomware automatizzate possono anche aiutarti ad andare oltre l’eliminazione dell’accesso globale.

Non sai come decifrare i tuoi file? HelpRansomware

Non sai come decifrare i tuoi file?

HelpRansomware analizza in profondità tutti i tuoi dati crittografati per procedere al loro ripristino

Come rilevare CryptoLocker

Ad esempio, se un singolo account utente modifica 100 file in un minuto, puoi scommettere che si tratti di un procedimento automatizzato.

Configura la tua soluzione di monitoraggio per attivare un avviso nel caso venga osservato questo comportamento.

Se non disponi di una soluzione automatizzata per monitorare l’attività di accesso ai file, potresti essere costretto ad attivare il native auditing.

In generale, però, sia il native auditing che i sistemi di monitoraggio fiscale e l’output sono sfortunatamente difficili da decifrare.

Dai la priorità alle aree particolarmente sensibili e valuta la possibilità di impostare un honeypot di condivisione file.

Una condivisione di file honeypot è una condivisione di file accessibile che contiene file che sembrano normali o preziosi, ma in realtà sono falsi.

Se i comandi manuali saranno bloccati, dovrai abilitare il native auditing per registrare l’accesso e creare uno script per avvisarti quando le attività vengono iscritte nel registro degli eventi di sicurezza (ad esempio utilizzando dumpel.exe).

Se il tuo meccanismo di controllo investigativo può attivare una risposta automatica, come la disabilitazione dell’account utente, l’attacco viene effettivamente fermato prima di infliggere ulteriori danni.

Hai bisogno di aiuto ora? HelpRansomware

Hai bisogno di aiuto ora?

Parla adesso con un esperto di ransomware

Ad esempio, la risposta a un utente che genera più di 100 azioni di modifica in un minuto potrebbe includere:

  • Notifica agli amministratori IT e della sicurezza (includi il nome utente e il computer interessati);
  • Controllo del registro della macchina per chiavi / valori noti creati da CryptoLocker;
  • Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames();
  • se il valore esiste, disabilita automaticamente l’utente.

A seconda della variante di CryptoLocker, la crittografia può essere reversibile con un disassemblatore in tempo reale.

Suggerimenti per la sicurezza contro i ransomware

A conclusione, ti consegno dei piccoli e semplici suggerimenti per potenziare la sicurezza del tuo dispositivo contro il ransomware.

Suggerimenti per la sicurezza contro i ransomware Cryptolocker helpransomware
  • Aggiorna il tuo antivirus e il software di protezione degli endpoint;
  • Evita le truffe di phishing: le e-mail di phishing sono il modo più comune con cui si diffondono i ransomware;
  • Conserva i backup dei tuoi documenti;
  • Impegnati a seguire un modello di zero trust o privilegi minimi: il ransomware può influire solo sulle cartelle in cui un utente può scrivere, un modello con privilegi minimi limita l’accesso solo a ciò che è assolutamente necessario;
  • Monitora l’attività dei file e il comportamento degli utenti.

Nuove varianti di ransomware stanno spuntando continuamente: contatta il team forense dedicato alla sicurezza di HelpRansomware e aggiorna diligentemente le firme ransomware rilevate in rete.

Contatta uno specialista HelpRansomware

Contatta uno specialista

I nostri esperti di ransomware sono disponibili 24 ore su 24, 7 giorni su 7 in tutto il mondo