Sicurezza

Ondata di attacchi con CryptXXX e la cura non funziona più

Quando ha fatto la sua comparsa, CryptXXX ha suscitato un certo allarme nel settore. Due i motivi: l’utilizzo di un sistema di crittografia “forte” come RSA4096 e l’uso, per la sua diffusione, di Angler Exploit Kit, lo strumento di attacco più avanzato attualmente in circolazione che consente ai cyber-criminali di attaccare le potenziali vittime attraverso pagine Web compromesse. In alcuni casi, inoltre, il malware viene installato come una sorta di “modulo aggiuntivo” del trojan Bedep.

crypt2
Le istruzioni di pagamento sono sempre molto chiare ed è previsto anche un tutorial su Youtube in caso di problemi. Del resto, i criminali ci tengono a vedere i loro soldi…

Il nuovo ransomware ha caratteristiche peculiari, che lo rendono particolarmente insidioso. Una volta installato sul computer, per esempio, aspetta un periodo determinato di tempo prima di attivarsi.

Si tratta di un accorgimento che impedisce alla vittima di capire quale sia il sito attraverso il quale ha subito l’attacco e permette ai pirati di coprire (almeno parzialmente) le loro tracce.

Una volta avviato, CryptXXX individua e crittografa tutti i file contenuti nei drive collegati al computer, modificandone l’estensione in .crypt. In questo modo i file non possono essere aperti, a meno di possedere la chiave di decrittazione, per la quale i pirati informatici richiedono un pagamento.

crypt1
La classica richiesta di riscatto che in troppi, ormai, conoscono fin troppo bene.

La richiesta di riscatto viene “comunicata” alla vittima utilizzando 3 file in formati diversi: HTML, BMP e TXT. Il primo viene aperto automaticamente nel browser, il secondo viene impostato come sfondo del desktop e il terzo memorizzato sull’hard disk.

Insomma: per non accorgersi di essere stati infettati bisogna essere davvero molto distratti. La richiesta di pagamento in Bitcoin per un equivalente di circa 500 dollari è subordinata a un termine di qualche giorno, trascorso il quale la somma raddoppia.

Per effettuare il pagamento, la vittima deve installare Tor Browser e collegarsi a un sito Web che contiene un modulo predefinito e persino una pagina di FAQ per rendere più agevole il pagamento.  

crypt3
Il tool per decodificare i file criptati da Rannoh si è dimostrato utile anche contro la prima versione di CryptXXX.

Nonostante RSA4096 sia considerato un sistema di crittografia “forte”, gli analisti di Kaspersky erano riusciti a mettere a punto uno strumento per decrittare i file presi in ostaggio da CryptXXX.

Il software, scaricabile da questa pagina nella sezione “Disinfection”, è stato originariamente realizzato per Rannoh, un altro ransomware con caratteristiche simili.

La versione aggiornata del RannohDecryptor, però, funzionava anche con i file codificati da CryptoXXX. L’unica condizione per sbloccare tutti i file colpiti dal ransomware, in alcuni casi, può essere quella di avere a disposizione una versione non crittografata di uno dei documenti, attraverso il quale il tool possa risalire alla chiave crittografica utilizzata.

Da martedì scorso, un aggiornamento del ransomware ha reso vano l’uso del Tool di Kaspersky, ma non è scontato che tutti i vettori di infezione si siano aggiornati alla nuova versione.

Se qualcuno dovesse essere colpito da CryptXXX, val la pena di fare un tentativo con il vecchio tool, nel caso il file che ha criptato i documenti fosse ancora della vecchia stirpe.

Un modo facile per capire se la versione di CryptXXX con cui abbiamo a che fare sia quella resistente al tool di Kaspersky è quella di controllare se il desktop del computer è ancora accessibile. La nuova versione, infatti, blocca lo schermo del pc che ha colpito, rendendo possibile, per chi non è esperto, solo l’operazione di pagamento del riscatto.