La nuova variante si chiama CTB-locker, dopo l’attacco di Dicembre l’Italia è nuovamente sotto attacco del malware crypto-ransomware.

Crypto-Ransomware si riferisce ad una classe di malware che tiene in "ostaggio" un computer, se così possiamo dire, fino a quando l'utente paga un determinato importo in denaro così da ricevere istruzioni specifiche sullo sblocco.

Crypto-Ransomware una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente dopo tutti i dati presenti sul disco rigido richiedendo poi un pagamento all'utente per ottenere una chiave di decriptazione. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l'unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Come si diffonde CTB-locker?

CTB-locker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di “social engineering” e che solitamente proviene da fonti legittime oppure tramite una botnet. Adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile .

Il file non è visibile come "<nomefile>.exe" ma in realtà come "<nomefile>.<pdf><docx><ecc.>.exe" perchè l'attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come "<nomefile>.pdf" nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo, o come un semplice file .zip.

Quando viene eseguito per la prima volta, il software si installa nella cartella "Documents and Settings" (o "Users", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico

A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.

Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.

Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti.

Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di dai 200 ai 500 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.

Se CTB-locker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l'unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware