tesla

Attenzione!!! Nuova ondata di infezioni virus con richiesta di riscatto. Ecco cos’è e cosa fare

È partita nei giorni scorsi una nuova ondata di infezioni del Ransomware TeslaCrypt 3.0. I ransomware sono virus informatici particolarmente subdoli che criptano i documenti contenuti sui PC infettati, a cui segue una comunicazione con la richiesta di un riscatto (500$) per la decriptazione.

In questi giorni la diffusione sta riguardando anche l’Italia.

Il virus arriva generalmente per e-mail con diversi soggetti e testi e da contatti noti.

In passato ransomware come Cryptolocker, Cryptowall e TorrentLocker erano contenuti in invii con fatture o note di credito in allegato o disponibili a un link contenuto nel messaggio di posta elettronica.

In seguito si è passati a codici di tracking di corrieri espresso (DHL,BRT,UPS ecc..) o bollette elettriche e telefoniche.

Nella versione più recente l’e-mail non ha testo se non la data d’invio, talvolta identica a quella inserita nell’oggetto, e ha un allegato .ZIP che contiene un file che esegue lo script e, se aperto, implementa la funzione di doenload ed avvio app che infetta il pc.

Se non si apre l’allegato la semplice apertura del testo dell’e-mail non comporta pericoli.

I file crittati hanno estensioni .XXX, .TTT e .MICRO e cambia il metodo con cui viene scambiata la chiave di cifratura.

Nelle cartelle dove risiedono i file che vengono codificati appaiono particolari file come help_recover_instructions.BMP ed help_recover_instructions.TXT in cui sono presenti le informazioni importanti per proseguire la gestione della criptazione/decriptazione dei documenti. Viene richiesto un riscatto di 500 dollari in bitcoin (moneta virtuale).

Gli antivirus non sempre si sono rivelati in grado di rilevare l’infezione.

Le precedenti versioni di TeslaCrypt avevano una debolezza crittografica che ha consentito lo sviluppo di un programma in grado di invertire gli effetti dell’infezione.

Dall’analisi di BloodDolly (autore del tool di decriptazione) sembrerebbe che anche in questa nuova versione la vulnerabilità continui ad essere presente, per cui dovrebbe essere relativamente possibile adattare il tool di decrittazione alla nuova versione (ciò è possibile ma richiederà tempo e comunque senza nessuna garanzia di riuscita)

Se siete stati infettati da una delle precedenti versioni di TeslaCrypt quindi non disperate, possono essere decodificate scaricando ed utilizzando il tool TeslaDecoder o l’analogo tool di Cisco.

Come riportato da http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/  con la versione 3.0 di Teslacrypt questi tools non sono più utilizzabili (verificate comunque poiché potreste avere una delle versioni precedenti e cosi recuperare i dati)

Se siete invece stati infettati da Teslacrypt 3.0 e per voi i dati hanno valore significativo, il consiglio è di conservare comunque i file criptati sperando che si riesca a decriptarli successivamente.

Di seguito la pagina con il testo ove viene richiesto il riscatto in bitcoin. E’ molto importante poichè contiene il riferimento cui è legata la chiave privata necessaria per decriptare i documenti. Lo si trova all’interno dei file con le istruzioni lasciate dal ransomware sul PC infetto.

virus 03

All’indirizzo segnalato dal ransomware si troverà poi una pagina che si presenta con uno sfondo blu e il solito testo che comunica l’indirizzo Bitcoin verso il quale eseguire il versamento e le condizioni di pagamento. Dalla stessa pagina, le vittime che pagano il riscatto scaricheranno decryptor, il software per decriptare i propri documenti.

virus 02

Il consiglio per chi riceve email con allegati ZIP, anche da contatti noti, è come al solito quello di non aprirli ed eventualmente contattare il mittente oppure caricare l’allegato su siti di scansione antivirus online, come ad esempio http://www.virustotal.com/ oppure http://www.virscan.org/ per verificare se esistono virus all’interno del file compresso.

Il virus agisce anche sul vostro contesto reale, cioè si propone nel messaggio con mittenti, articoli o servizi, ambiti e contenuti che fanno parte della vostra reale attività, IN MODO DA NON DESTARE SOSPETTI.

 

L’ultima versione di messaggio che sta girando si presenta generalmente con queste particolarità:

  • oggetto: “<nome del mittente>”    (sicuramente da voi conosciuto)
  • corpo del messaggio: “DATE:1/26/2016 2:26:46 PM”
  • allegato: file zip con nome casuale di 3/4 caratteri (esempio Wysi.ZIP)
  • Il corpo del messaggio è composto da varie righe
  • Nel campo Cc sono spesso presenti altri destinatari da voi conosciuti

Allora tutto è perduto? …. Forse no!

Anche se molti non ne sono a conoscenza, una ottima possibilità di recupero dati è quella di utilizzare la feature chiamata Shadow Copy, utilizzabile nelle versioni Windows per desktop e nelle versioni server.

Nota: Questa tecnica è inefficace nel pc infetto poiché il virus è in grado di inibirne localmente l’efficacia ma si rivela invece spesso risolutiva sui computer/server che “subiscono” la criptazione.

 

In questo caso cioè potrete tornare ad una condizione del computer/server precedente alla criptazione e recuperare i dati, al limite perderete le ultime modifiche inserite o solo nuovi files.

Purtroppo i sistemisti tendono a sottovalutare l’attivazione di questa importante funzione specialmente sui server documentali rendendo vana questa preziosa opportunità.

virus 01

Altra cosa importantissima DISCONNETTETE (Meglio spegnere tutto se siete nel panico) immediatamente i computer specie se si trovano in una rete poiché il software cripterà non solo i dati sul pc infetto ma tutti quelli raggiungibili sugli altri computer cha hanno dischi condivisi in rete.

Già questo limiterà fortemente l’impatto sul numero di files criptati, se lasciate agire il virus in poche ore sarà tutto perso (più potente è il pc infetto più veloce sara la criptazione).

 

Chiedete una verifica se sui vostri sistemi sono state attivate queste funzionalità.

Quando il lavoro del vostro sistemista di fiducia è ben fatto… vi può salvare dai guai!!

Affidatevi a tecnici che conoscono a fondo i sistemi informatici e sono in grado di sfruttarne le potenzialità trasformandole in servizi a valore aggiunto, salvaguardia dalla perdita dati, rientro dell’investimento!

Chiedetevi la prossima volta perché c’era tanta differenza fra il contratto di assistenza/servizi tra una fornitore IT e l’altro.

 

Piccolo vademecum per intercettare spam, possibili virus, ransomware nelle email:

NON AVERE FRETTA QUANDO SI PROCESSA UNA MAIL,

NON CLICCARE ASSOLUTAMENTE SUI LINK SE NON CHIARI

NON SCARICARE OD APRIRE CONTENUTI DI ALLEGATI STRANI

Nel dubbio “NON PROVARE” ad aprire la mail senza aver osservato TUTTE  le seguenti caratteristiche:

– il mittente è attendibile e conosciuto?

(nome cognome, indirizzo email visibile ecc..)

– l’oggetto o il corpo del messaggio ha un senso rispetto al vostro lavoro ed al Vostro business aziendale?

(se vi offrono di passare una serata insieme o se vi regalano uno smartphone o vi vendono un rolex con lo sconto PENSATECI BENE PRIMA DI CREDERCI….)

– il corpo del messaggio è ben strutturato e completo di tutti i dati?

(presentazione, richiesta/comunicazione, firma completa di dati)

-l’eventuale allegato si presenta con un nome chiaro è pertinente all’argomento trattato?

(un allegato che si chiama: dhfuirpod.zip è poco affidabile, ma anche se il nome è “fattura” prestate attenzione)

– non fidatevi di email strane (anche da persone conosciute) che pervengono da ambienti social come Facebook, WhatsApp ecc..

– avete in corso attività con chi vi ha inviato la mail?

Infine se proprio pensate che la mail possa avere una certa affidabilità:

– contattate il mittente della email (via telefono o mail) e chiedete verifica.

– controllate il file allegato (senza mai aprirlo) su un sito di scansione virus online come VirusTotal oppure VirScan che vi dara un responso sul contenuto.

In ogni caso sul mercato online cominciano ad essere commercializzati prodotti che possono essere installati sulle proprie macchine e che, anche se ancora in fase sperimentale, riescono a risolvere numerose problematiche relative proprio all’infezione di questo virus.

ATTENZIONE: non basta una sola delle predette verifiche a garantirvi che il messaggio sia affidabile, consideratele tutte insieme!!

La sicurezza dei dati è proporzionale all’attenzione prestata dall’utente non solo all’antivirus installato (spesso non aggiornato)!!

Print Friendly

clean-service


mt-infissi


uniscuole

Articoli Correlati

Close