E’ da pochi giorni iniziata in Italia una campagna di infezione tramite il famigerato ransomware TeslaCrypt 3.0. Tutti i file vengono criptati con estensioni .TTT, .MICRO e .XXX e ad oggi non è stato trovato ancora il modo per recuperare i documenti resi inutilizzabili ed illeggibili.
Come avviene il contagio?
Il metodo è sempre lo stesso. Il malcapitato riceve una mail, da un contatto noto, contenente un allegato. La mail è priva di testo e l’allegato consiste in un archivio .ZIP contenente un file javascript (.JS) oppure un PDF o DOC fasullo (i.e. fatturaXYZ.PDF.exe). Questo script, se aperto, effettua il download del trojan TeslaCrypt. Lo script allegato, infatti, non è altro che un “dropper”, ovvero un malware il cui unico scopo è quello di scaricare il trojan che si occuperà di infettare il pc e criptare tutti i file presente sull’HD.
Occorre chiarire che la semplice apertura e visualizzazione del testo della mail non causa l’infezione del PC, ma occorre che l’utente apra il file zip e clicchi sulla finta fattura o nota di credito.
Una volta avvenuto il contagio e la crittazione dei file, il ransomware inserisce un messaggio nelle cartelle contenenti i file compromessi con il quale richiede un riscatto in bitcoin. Messaggio tipo:
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
2. http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
3. http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/72557C51ED3348E7
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/72557C51ED3348E7
!!! Your personal identification ID: 72557C51ED3348E7
——————————————————————————————————–
All’indirizzo segnalato si troverà una pagina con gli estremi per il versamento del riscatto. Sempre dalla stessa pagina, una volta pagato il riscatto, sarà possibile scaricare il software per decrittare i propri documenti.
Cosa fare se si viene infettati?
Per chi è stato colpito dal virus, prima di procedere al pagamento del riscatto (che sconsigliamo in quanto non offre la sicurezza di ottenere la passphrase per decrittare i file) è possibile fare qualche tentativo di ripristino del sistema.
Se ci si rende conto che si è stati infettati, scollegare immediatamente il dispositivo dalla rete per impedire al ransomware di crittare più file possibile e di impedire che eventuali copie presenti su Dropbox, Googgle Drive o altro vengano sovrascritte con le copie infette.
Ottenere un elenco dei file infetti tramite ListCrilock, tool che crea un file di testo con tutti i documenti criptati dal virus.
Rimuovere il virus dal proprio PC tramite un valido antivirus tipo:
- Malwarebytes
- RogueKiller
- ComboFix
- 360 Total Security
Cryptolocker attacca solo i file presenti sul PC e sulle unità di rete. Non infetta i file compressi. Il suo obiettivo sono i documenti contenuti nei PC. Le estensioni che vengono colpite da Cryptolocker sono:
.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.
Una volta ripulito il PC bisogna ricorrere alle copie shadow ovvero versioni precedenti dei file che Windows memorizza ogni volta che un file viene modificato. Per accedere a questa funzione cliccare con il tasto destro su un file e aprire le proprietà.
Nella scheda Versioni precedenti sono visibili le diverse copie che Windows ha memorizzato. Selezionare la versione più recente, precedente all’infezione, e fare click per ripristinarla.
Una valida alternativa consiste nell’utilizzare ShadowExplorer
Il modo migliore per evitare spiacevoli sorprese rimane il sempre consigliato backup periodico dei propri dati su hard disk esterno o su server di terze parti. Estrema cautela va utilizzata nell’apertura delle email e dei suoi allegati avendo cura di controllare il tipo di file e la sua estensione, analizzare l’allegato con un buon antivirus e, nel caso, contattare il mittente per chiedere conferma dell’avvenuto invio.