E’ stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l’hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l’intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell’avvio di Windows, quindi l’utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema.
Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l’infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l’accesso al sistema tramite RDP, il ransomware viene installato manualmente.
Durante il processo di installazione, viene creato un file log su
C:\Users\Public\myLog.txt: qui è possibile vedere l’andamento del processo di criptazione.
Una volta che l’intero drive è stato criptato, il computer viene riavviato e l’utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione.
DiskCryptor è già stato usato da altri ransomware…
Non è la prima volta ch Diskcryptor viene usato con un ransomware. Nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all’utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l’infezione attuale e quella di HDDCryptor.
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L’attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l’azienda municipale a concedere l’uso gratuito dei trasporti cittadini per un intero fine settimana.
Come stare al sicuro dai ransomware
La regola d’oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup. Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un’ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l’opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete.
Ulteriori suggerimenti…
- Non aprire allegati provenienti da fonti sconosciute o sospette;
- esegui la scansione di allegati sospetti con tool come VirusTotal;
- assicurati di aver aggiornato tutti i software in uso all’ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
- installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
- se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN.
Credit: S-mart