Come reagire a un attacco ransomware

Lug 11, 2016 Marco Schiaffino 0

---

Contrastare l’attacco

Nella maggior parte dei casi le chiavi crittografiche sono generate attraverso schemi predefiniti o (più raramente) sono integrate nel codice del malware. Risultato: attraverso il lavoro degli analisti antivirus è possibile ricostruire il metodo usato per generare la chiave e, di conseguenza, trovare un modo per “liberare” i file.

Le soluzioni variano a seconda del malware e comprendono tecniche per ricostruire la password per la decodifica, stratagemmi per recuperare i file originali e tool gratuiti sviluppati dai produttori di antivirus per bloccare l’azione dei ransomware o decifrare i file crittografati.

Purtroppo, però, anche i pirati informatici sono in grado di imparare dai loro errori e gli strumenti anti-ransomware, di solito, non hanno vita lunga. A qualche settimana dal rilascio di un tool, fa invariabilmente la sua comparsa una versione aggiornata del ransomware che utilizza una nuova tecnica per aggirare le contromisure.

Una tipologia di strumenti è quella che impedisce l’azione dei ransomware. È la strada battuta da BitDefender, che ha messo a disposizione un “vaccino” in grado di bloccare alcuni tipi di ransomware. Lo strumento, in pratica, sfrutta una falla nella procedura di installazione di alcuni ransomware (tra cui CTB-Locker e Locky) per bloccarli sul nascere. L’efficacia di questo approccio, naturalmente, viene meno quando i criminali correggono i loro malware per aggirare le difese.

Se invece ci si trova nella condizione di avere già subito l’attacco ed essersi ritrovati con i file cifrati, la prima cosa da fare è cominciare a spulciare Internet per scoprire se ci sia una soluzione a portata di mano.

Gli strumenti dedicati, come accennato, non hanno vita lunga. Questo non significa però che non siano una soluzione praticabile. Anche perché agli aggiornamenti dei malware corrisponde, spesso e volentieri, il corrispondente aggiornamento per il decrypter.

Il record, in questo campo, spetta senza dubbio a CryptXXX. Il malware è stato aggiornato dai suoi autori dopo il rilascio da parte di Kaspersky di un tool per la decodifica dei file, ma sono bastati una manciata di giorni perché gli analisti trovassero la contromossa per scardinare nuovamente il sistema di crittografia del ransomware. L’azienda antivirus russa mette a disposizione, dalla stessa pagina Web, un tool simile per CoinVault.

Sul sito di Dr.Web è possibile trovare un elenco dei ransomware per cui sono disponibili strumenti di decodifica, ma l’azienda offre il servizio gratuitamente solo ai suoi clienti. L’elenco completo dei ransomware “trattati” da Dr. Web comprende BAT.Encoder; Trojan.Encoder (nelle versioni 94; 293; 398; 556; 741; 567; 686; 858; 2843; 2667; 3953) Linux.Encoder e Mac.Trojan.KeRanger.2.

L’offerta maggiore di strumenti anti-ransomware è offerta dall’austriaca Emsisoft, che mette a disposizione un gran numero di tool gratuiti per alcuni dei più diffusi ransomware. Tra questi ci sono 777; AutoLocky, Numecod; DMA Locker (1 e 2) ; HydraCrypt; CrypBoss; Gomasom; LeChiffre; KeyBTC; Radamant; CryptInfinite; PClock; CryptoDefense e Harasom. Non tutti gli strumenti garantiscono il risultato e, in alcuni casi, integrano una funzione di test che permette di capire se siano effettivamente in grado di decodificare i file.

Se su Internet non è disponibile un tool dedicato, non scartiamo a priori l’ipotesi che esista una soluzione, magari anache più semplice. Nel caso di Manamecrypt, un ransomware comparso di recente, gli analisti si sono resi conto abbastanza velocemente che la soluzione è a portata di mano. Il malware, infatti, utilizza come password una combinazione tra il nome dell’archivio cifrato e il nome utente del PC infetto.

---

---

---