Disclaimer per i contenuti del Blog


DISCLAIMER:Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità . Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autore non è responsabile per quanto pubblicato dai lettori nei commenti ad ogni post. Verranno cancellati i commenti ritenuti offensivi o lesivi dell’immagine o dell’onorabilità di terzi, di genere spam, razzisti o che contengano dati personali non conformi al rispetto delle norme sulla Privacy. Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via email. Saranno immediatamente rimossi. L'autore del blog non è responsabile dei siti collegati tramite link, del loro contenuto che può essere soggetto a variazioni nel tempo ne degli eventuali danni derivanti dall'utilizzo proprio od improprio delle informazioni presenti nei post.

martedì 27 gennaio 2015

CTB-Locker, l'ennesimo ransomware che crittografa i files personali, si scatena in Italia!!

Se ricevete una mai insolita, tipo quella che ho riportato in basso, che vi spinge ad aprire un allegato, diffidate!!!

Sta girando in italia una variante di CTB-Locker, un trojan della famiglia dei Ransomware, che 'prende in ostaggio' i vostri files personali crittografandoli e richiedendovi un riscatto di circa 1500€ per il ripristino dei stessi. Solo oggi già due miei clienti sono stati colpiti.

L'unica vera protezione, oltre ad una buona dose di diffidenza nei confronti delle mail in arrivo non provenienti da contatti noti, è un frequente backup dei dati con distacco dell'unità di backup dal computer al termine dell'operazione (c'è la possibilità che vengano crittografati anche i files presenti sul disco di backup se questo dovesse essere connesso al momento dell'attacco).

Al momento i soli computer Windows dovrebbero essere a rischio... Per ora...

AGGIORNAMENTO IMPORTANTE
Sembra che il trojan dopo aver crittografato i files utente, cancelli gli originali senza utilizzare tecniche che impediscono il recupero dei dati. Questo significa che con un qualsiasi programma di UNDELETE potrebbe essere possibile recuperare i documenti persi!!!!

L'informazione proviene da questa fonte: http://www.digitalic.it/wp/mercato-2/business/ctb-locker-la-soluzione-per-recuperare-file/88156

Farò delle verifiche e posterò i risultati, nel frattempo converrà tenere spenti i computer colpiti per evitare che la normale attività possa andare a sovrascrivere le aree del disco contenenti i documenti cancellati.

Consiglio l'esecuzione del programma di undelete solo dopo aver effettuato un boot da CD/DVD con una delle tante distribuzioni WinPE disponibili sulla rete, questo per evitare scritture sull'HD.


DELUSIONE
Ho eseguito un paio di test, uno su una virtual machine ed uno su una macchina reale, installata ad hoc, eseguendo il file .cab (contenente un file .scr) ed ottenendo il 'rapimento' dei files ma in nessuno dei due casi ho trovato traccia dei file cancellati ai quali si fa riferimento nell'articolo precedentemente indicato (ma ho trovato file giustamente cancellati, il sw di undelete ha operato correttamente) quindi, almeno nei casi presi in esame da me, questo metodo non ha funzionato.

Sarebbe cosa gradita ricevere dei feedback relativi alla vostra esperienza.




2 commenti:

  1. Aggiornamento: dal momento che attualmente non c'è la possibilità di decriptare i files che sono stati cifrati, il mio consiglio è quello di eseguire un backup di tutto il materiale nella speranza che, come già accaduto per CryptLocker, si riesca a mettere le mani sul/i server contenenti le chiavi di decriptaggio così da renderle disponibili alle vittime di questo attacco.

    RispondiElimina
  2. Per ottenere una chiave di decodifica per sistemi colpiti da CryptoLocker senza sborsare soldini andare qui: https://www.decryptcryptolocker.com

    RispondiElimina