Incontro ravvicinato con un ransomware

Alcune settimana fa sono stato contattato da un amico, Alex, per controllare un computer portatile colpito da un malware.  Il problema aveva reso completamente inutilizzabile il pc, anche se apparentemente non aveva danneggiato i dati.
Il sistema, infatti, equipaggiato con una versione recente di MS Windows, effettuava regolarmente l’avvio; ma dopo avere inserito le credenziali nell’apposita finestra di login, presentava all’utente un’immagine di colore bianco che ricopriva l’intero schermo. L’uso della tastiera non aveva alcun effetto sul problema e era possibile utilizzare esclusivamente la combinazione di tasti CTRL+ALT+CANC per effettuare un riavvio o uno spegnimento del PC.

Ero di fronte a un ransomware, un tipo di malware  scoperto intorno al 2005-2006 in Russia, in grado di prendere il controllo del computer e bloccarne l’utilizzo fino al pagamento di un riscatto. Qualcuno forse ricorda il cosiddetto police-trojan,  una delle varianti ransomware più diffuse nel 2012, che simula il sito delle autorità di polizia e chiede il pagamento di una multa per sbloccare il computer dell’utente a cui viene contestata una finta violazione.

Dopo aver tentato un riavvio del portatile, è stato facile accorgersi che il desktop era ancora “vivo”, ma mascherato dall’immagine a pieno schermo. Le icone e i file, infatti, tornavano visibili per pochi istanti mentre il computer completava le operazioni di spegnimento a causa della richiesta manuale di riavvio. Il sistema operativo era in grado di terminare  il malware durante la fase di spegnimento.
Inutili i tentativi di interrompere l’arresto del sistema nel momento in cui era possibile scorgere il desktop. Alla difficoltà si aggiungeva una ulteriore complicazione dovuta al fatto che l’installazione del malware era stata interrotta dall’utente che, accortosi del problema, aveva fatto in tempo a disabilitare tutte le connessioni di rete. Questo aveva alterato l’installazione del software malevolo e ne aveva resa impossibile la rimozione attraverso le istruzioni contenute nelle guide disponibili in rete.

A questo punto è arrivata l’idea di usare il programma “blocco note” per interrompere il processo di spegnimento. Notepad.exe, infatti, è uno dei software in grado di interrompere l’arresto del sistema per consentire il salvataggio dei dati nel file in uso.
In questo modo, un po’ a memoria e senza la guida del mouse, è stato possibile aprire  una finestra del programma “blocco note” e scrivere qualche lettera a caso. Non restava che incrociare le dita e provare a spegnere il computer sperando che l’arresto del sistema si interrompesse per il salvataggio del file.

Il test ha funzionato e  grazie ad alcuni tool come autoruns è stato possibile mettere a punto le configurazioni dei file che erano stati manipolati.

Secondo un noto produttore di software antivirus (rif.1), che ha analizzato  gli incidenti nel 2013, sui forum “alternativi” e sul mercato nero i cyber-criminali si stanno organizzando per produrre kit sempre più complessi per consentire a chiunque di costruire e personalizzare il proprio ransomware.

Cryptolocker. Image courtesy of wikipedia.
Cryptolocker. Image courtesy of wikipedia.

Uno dei ransomware più temibili è Cryptolocker che, grazie a alcuni meccanismi di crittografia, è in grado di cifrare i dati contenuti nel computer e di decifrarli a distanza solo dopo il pagamento di una cifra in danaro. L’allerta arriva anche dal Computer Emergency Response Team (C.E.R.T.) degli Stati Uniti con un avviso dello scorso novembre 2013.

Alcune vittime riportano (rif.2) che non è stato possibile recuperare i dati nonostante il pagamento del riscatto richiesto. Conclusione facilmente prevedibile  se si pensa che si tratta di organizzazioni criminali, ma in alcuni casi è successo che le autorità, impegnate nel combattere il fenomeno, abbiano chiuso i server remoti con le chiavi di decifrazione prima che le vittime potessero rientrare in possesso dei propri dati.

Il malware è arrivato verosimilmente tramite un allegato di posta elettronica, sfruttando le funzionalità di MS Windows che permettono di nascondere le estensioni per i tipi di file conosciuti, oppure attraverso una vulnerabilità del sistema non sanata. Inoltre non tutti gli antivirus sono in grado di riconoscere questo tipo di minacce.

In aggiunta alle cautele che normalmente si adottano durante la navigazione in internet e l’uso della posta elettronica, la necessità di tenere aggiornati i programmi e il software antivirus, il “vecchio e caro” backup  tramite  unità esterna resta insomma ancora una valida contromisura contro questa tipologia di rischi.