TeslaCrypt: conoscerlo e difendersi

19 aprile 2016

Negli ultimi tempi, si è assistito ad una crescente diffusione dei cosiddetti ransomware, ovvero dei software malevoli (malware) che si contraddistinguono per “infastidire” in qualche modo più o meno grave l’utente, chiedendo un “riscatto” (ransom, in inglese) in cambio del ripristino del sistema alla normalità. I primi ransomware si limitavano ad infettare un PC, modificando il desktop ed aprendo continuamente schermate molto fastidiose per l’utente, che in genere visualizzavano delle istruzioni su come effettuare i pagamenti (tipicamente tramite BitCoin o altri metodi difficilmente tracciabili).

Ultimamente, purtroppo, questo tipo di malware si è evoluto, non limitandosi più solo a visualizzare qualche noiosa finestra, ma cifrando i dati sul PC (o sul dispositivo mobile) del malcapitato (per questo motivo si parla talvolta anche di crypto-ware). Questo modo di agire è ben più complicato da risolvere: una volta che il malware viene eseguito, esso inizialmente otterrà una chiave di cifratura (tipicamente tramite uno scambio di informazioni con un server, o utilizzando informazioni del sistema che lo ospita), ed una volta ottenuta la utilizzerà per cifrare i file contenenti dati più o meno significativi. Saranno quindi tipicamente cifrati documenti, immagini, file video, audio e molto altro. L’unico modo per decifrarne nuovamente il contenuto, ripristinando lo stato dei nostri dati, è (secondo quanto ci viene richiesto dai ransomware) il pagamento di un riscatto, a seguito del quale ci sarebbe fornita la chiave privata da utilizzare per la decifratura. E le cose vanno di male in peggio se si pensa che, in genere, anche dopo il pagamento del riscatto nessuno invierà mai alcuna chiave di decifratura…

Quest’ultimo modo di operare è tipico di alcuni ransomware che sono diventati molto diffusi negli ultimi anni, vale a dire CryptoLocker, TeslaCrypt, CBT-Locker ed il più giovane Petya. Il problema è che ognuno dei ransomware appena citati continua ad evolversi e ad essere migliorato, e ne vengono messe in circolazione versioni sempre diverse. La conseguenza di ciò è che proteggersi da questo tipo di attacchi non è mai semplice, ed è quasi sempre fondamentale intervenire in maniera quanto più tempestiva.

Nel seguito di questo articolo ci soffermeremo su TeslaCrypt, uno dei più diffusi ransomware in circolazione, che agisce tipicamente su Microsoft Windows. Questo malware è diffuso in molte varianti, ed anche per questo motivo è sempre più difficile difendersi una volta che il nostro PC viene attaccato. Cercheremo di capire in che modo agisce sul nostro sistema, come identificarlo, e quali strumenti utilizzare per provare a rimuovere TeslaCrypt e/o a recuperare il contenuto dei file.

Prevenzione: la migliore cura

Il modo migliore per difendersi da ogni ransomware è, ovviamente, prevenire ogni possibile infezione. Per questo motivo, è sempre indispendabile utilizzare un antivirus aggiornato, ma al tempo stesso è bene fare molta attenzione alle email che riceviamo, poichè spesso gli allegati possono nascondere alcuni file malevoli. Recentemmente, ad esempio, una versione di TeslaCrypt è stata rintracciata all’interno di file con estensione .mp3, mentre in altri casi il virus si è diffuso per mezzo di file eseguibili, o con estensioni più “originali”, come .tmp, .eccetera o .pipistrello.

Purtroppo, può capitare a tutti di fare qualche errore, e di eseguire per sbaglio TeslaCrypt o altri ransomware. Nel seguito cercheremo di capire in che modo identificare l’eseguibile che cifra i nostri dati, in modo da arrestarne l’esecuzione ed eliminarlo. Ci soffermeremo quindi sulle possibilità di ripristino dei dati cifrati.

TeslaCrypt: come funziona

In genere, quando viene eseguito, TeslaCrypt ha bisogno di memorizzare alcuni file all’interno del nostro computer, per poi far sì che essi vengano eseguiti. Il primo file è il vero eseguibile che effettuerà la cifratura, e che spesso viene memorizzato in %UserProfile%\Application Data.

Una volta creato questo file, TeslaCrypt 3.0 genera una chiave di registro per far sì che il file appena citato (che d’ora in avanti chiameremo payload.exe, ma che in realtà ha un nome generalmente casuale) venga eseguito sempre all’avvio di Windows. Ciò può essere verificato controllando che la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\ contenga un contenuto simile al seguente:

"addon_v{number}" = "%UserProfile%\Application Data\payload.exe"

Il malware crea inoltre un’ulteriore chiave di registro, del formato HKEY_CURRENT_USER\Software\xxxsys\.

A questo punto, il file payload.exe viene eseguito, ed inizierà a cifrare moltissimi tipi di file. Secondo i ricercatori di Symantec, le estensioni cifrate sono le seguenti (sebbene la lista potrebbe essere incompleta, e dipende comunque dalla versione di TeslaCrypt):

.7z .rar .m4a .wma .avi .wmv .csv .d3dbsp .sc2save .sie .sum .ibank .t13 .t12 .qdf .gdb .tax .pkpass .bc6 .bc7 .bkp .qic .bkf .sidn .sidd .mddata .itl .itdb .icxs .hvpl .hplg .hkdb .mdbackup .syncdb .gho .cas .svg .map .wmo .itm .sb .fos .mcgame .vdf .ztmp .sis .sid .ncf .menu .layout .dmp .blob .esm .001 .vtf .dazip .fpk .mlx .kf .iwd .vpk .tor .psk .rim .w3x .fsh .ntl .arch00 .lvl .snx .cfr .ff .vpp_pc .lrf .m2 .mcmeta .vfs0 .mpqge .kdb .db0 .DayZProfile .rofl .hkx .bar .upk .das .iwi .litemod .asset .forge .ltx .bsa .apk .re4 .sav .lbf .slm .bik .epk .rgss3a .pak .big .unity3d .wotreplay .xxx .desc .py .m3u .flv .js .css .rb .png .jpeg .txt .p7c .p7b .p12 .pfx .pem .crt .cer .der .x3f .srw .pef .ptx .r3d .rw2 .rwl .raw .raf .orf .nrw .mrwref .mef .erf .kdc .dcr .cr2 .crw .bay .sr2 .srf .arw .3fr .dng .jpe .jpg .cdr .indd .ai .eps .pdf .pdd .psd .dbfv .mdf .wb2 .rtf .wpd .dxg .xf .dwg .pst .accdb .mdb .pptm .pptx .ppt .xlk .xlsb .xlsm .xlsx .xls .wps .docm .docx .doc .odb .odc .odm .odp .ods .odt

Ai file cifrati, inoltre, è talvolta aggiunta l’estensione .mp3. Ovviamente, provando a riprodurre tali file, il nostro riproduttore musicale non potrà che mostrarci un errore. È comunque sconsigliabile provare a riprodurre questi file se si intuisce che il PC è sotto l’azione di un malware come TeslaCrypt: ancora una volta, prevenire è meglio che curare…

A completamento di quanto sopra descritto, TeslaCrypt provvede alla generazione di alcuni file con le istruzioni per il pagamento del “riscatto”. Tali file hanno, in genere, nomi simili a _H_e_l_p_RECOVER_INSTRUCTIONS{ID} o recover_file_{random_ID}.txt, ed estensioni di tipo .txt, .png ed .html. Essi conterranno tipicamente una spiegazione (in inglese) di cosa è successo ai nostri file, ed una richiesta di pagamento tramite uno o più servizi non tracciabili.

Figura 1. Pagina HTML con le istruzioni per il pagamento, generata da TeslaCrypt (click per ingrandire)

Pagina HTML con le istruzioni per il pagamento, generata da TeslaCrypt

Se ci accorgiamo di avere subito l’azione malevola di TeslaCrypt, è bene correre immediatamente ai ripari.

Rimozione di TeslaCrypt: i tool

La prima cosa da fare per rimuovere TeslaCrypt è riavviare il PC in modalità provvisoria (Safe Mode, in inglese). Per farlo, è sufficiente premere continuamente il tasto F8 prima che compaia la schermata di avvio di Windows, in fase di boot.

In modalità provvisoria, assicuriamoci inoltre di effettuare l’accesso con un account che disponga dei privilegi di amministratore.

A questo, la rimozione di TeslaCrypt (che, in modalità provvisoria, non dovrebbe essere eseguito all’avvio) può essere effettuata rimuovendo il sopra citato file payload.exe e le chiavi di registro incriminate (tramite regedit), oppure utilizzando uno dei tool diffusi su internet, e pensati proprio per questo scopo. Tra questi tool, citiamo SpyHunter, ma anche una soluzione alternativi sviluppata da PCrisk e scaricabile a questo link. È bene precisare, però, che non sempre questi strumenti funzioneranno, anche perchè TeslaCrypt (così come tutti gli altri ransomware) è in continua evoluzione, e potrebbe non essere riconosciuto da antivirus e simili. Il metodo migliore, quindi, è cercare i file eseguibili sospetti nella cartella %UserProfile%\Application Data, e provare a rimuovere essi e le relative chiavi di registro.

Purtroppo, anche nel caso in cui la rimozione di TeslaCrypt (che non è mai cosa semplice) vada a buon fine, i file già cifrati rimangono illegibili, e non è sempre semplice recuperarne il contenuto. Anche se è possibile fare qualche tentativo.

Decifratura dei file

È bene chiarire subito una cosa: se l’algoritmo di cifratura di un crypto-ransomware è ben congegnato e correttamente funzionante, c’è poco che possiamo fare per ripristinare i file. Si potrebbe, in casi estremi, ricorrere a programmi di recupero dei file eliminati (come Recuva o simili), oppure tentare di cercare alcune copie che Windows talvolta crea automaticamente (le cosiddette shadow copies), utilizzando ShadowExplorer.

Prima di arrivare a ciò, però, è bene precisare che spesso gli algoritmi di cifratura utilizzati dai ransomware hanno qualche falla di sicurezza. Non è chiaro se ciò sia dovuto alla “negligenza” degli hacker che implementano tali malware, oppure se si tratti di una scelta consapevole, che lasci una sorta di backdoor per ripristinare comunque i file. Fatto sta che alcuni ricercatori hanno implementato software in grado di decifrare i file corrotti da alcune versioni di TeslaCrypt, ed è sempre il caso di tentare di utilizzarli.

Kaspersky, ad esempio, ha reso pubblica una lista di decrypter che potrebbero essere in grado di decifrare correttamente i file corrotti da TeslaCrypt e da altri ransomware simili. Il Talos Group di Cisco ha invece prodotto un tool (scaricabile a questo link, e destinato principalmente a TeslaCrypt) che utilizzando un file key.dat contenente le informazioni di cifratura di TeslaCrypt. Alcune versioni di questo ransomware, infatti, creano un file di questo tipo sempre in %UserProfile%\Application Data, contenente la chiave di cifratura. Da essa, talvolta, può essere ricavata una chiave di decifratura per effettuare il processo inverso, sfruttando una vulnerabilità generata in fase di generazione delle chiavi.

Un’altra utility rilasciata più di recente è TeslaDecoder, che potete trovare allegata a questo articolo in forma di archivio .zip. Recentemente è stata rilasciata una versione aggiornata di questo tool che dovrebbe essere in grado di decifrare i file bersagliati dalle ultime versioni di TeslaCrypt. Nel seguito vedremo proprio come utilizzare questo tool.

Se vuoi aggiornamenti su TeslaCrypt: conoscerlo e difendersi inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su TeslaCrypt: conoscerlo e difendersi

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy