CryptoLocker, no TorrentLocker

Giorni fa (parecchi giorni fa, ormai!) ho promesso di raccontare il mio incontro con CryptoLocker, il primo ransomware con cui ho avuto a che fare. Il racconto dettagliato di questa esperienza esce oggi in contemporanea — un po’ per gioco, un po’ per vedere l’effetto che fa — sia su QuickLoox che su Melabit.

Non ho potuto far molto per evitare l’infezione, a parte reinstallare Windows da zero e recuperare i file distrutti da vari backup più o meno recenti. Ma ho imparato parecchio sui ramsomware (e anche sulle persone).

Mentre scrivevo il post sono rimasto sorpreso nello scoprire che parecchi dettagli del funzionamento di CryptoLocker non coincidevano con i miei ricordi. Dopo un po’ di ricerche mi è tornato in mente di aver affrontato in realtà TorrentLocker (noto anche come Crypt0L0cker), una variante successiva ma non meno pericolosa del CryptoLocker originale. Il senso del discorso comunque non cambia.

Tutto è successo circa un anno e mezzo fa. Un bel giorno entra in ufficio una collega, chiamiamola Virginia, che pronunzia la fatidica frase:

“Sta succedendo qualcosa di strano al mio computer.”

“Strano? Che significa strano, ti si è bloccato il computer?”

“Forse è un virus.”

Normale, quando non capiscono cosa succede, è sempre un virus.

“Hai provato a riavviare?” (lo so, è banale, ma il supporto tecnico su Windows non ha senso senza almeno un riavvio).

“Certo, due volte, ma non succede niente.” (nel senso che non cambia niente).

“Che hai fatto per beccarti il virus? Hai mica aperto l’allegato di qualche email?” (non ci credo nemmeno io, i virus nei file allegati colpiscono soprattutto i maschietti…).

“Boh, niente, stavo solo guardando la posta… Però ora non riesco più ad aprire i miei file, non riesco più a fare niente. Puoi venire per favore?”

Lo sapevo. Fregatura in arrivo e mattinata persa. Purtroppo, se pensano che tu sia esperto di computer (ed è impossibile non farlo pensare se il 99% delle persone con cui hai a che fare sanno appena appena accenderli), tutti si sentono in diritto di chiederti continuamente aiuto, come se non avessi niente di meglio da fare tutto il giorno.

Purtroppo con Virginia ci lavoro e non posso esimermi. Con chi mi conosce meno posso uscirmene quasi sempre con un “Sai, io uso il Mac, di Windows ne capisco poco, meglio che chiedi al Greco.” (il Greco è il tecnico che, in teoria, dovrebbe occuparsi della rete e del supporto tecnico IT). Ma Virginia sa bene che non è così, con lei la scusa non regge.

Mi alzo e seguo svogliatamente Virginia nel suo ufficio. Ha un vecchio Dell ormai più che obsoleto, che dice sempre di voler cambiare. Guardo il monitor e il mio interesse all’improvviso va a mille.

Il desktop di Virginia è come sempre pieno di icone. Lavorandoci assieme lo so bene, l’ho presa spesso in giro per questa abitudine di tenere tutto alla rinfusa sulla scrivania virtuale mentre quella reale è, al contrario, ordinatissima, anzi praticamente sempre vuota.

Ma ora vedo benissimo che tante icone sono cambiate. Non sono più quelle ben riconoscibili dei file pdf o doc, sono diventate bianche, anonime, sono le icone standard di Windows quando non sono associate ad un programma definito.

Ad un certo momento, puff!, vedo l’icona di un file di Word cambiare all’improvviso, e diventare bianca come le altre. Poi un’altra e poi un’altra, quasi seguissero un ordine prestabilito. È chiaro che c’è qualcosa che non va, ma non ho la minima idea di cosa sia. Decido di staccare il cavo di rete, isolando il computer dal resto della rete locale e da internet. Non c’è un motivo particolare per farlo, ma per fortuna è la cosa decisiva (anche se ancora non lo so).

Intanto le icone continuano a cambiare davanti a me.

Apro Windows Explorer e attivo la visualizzazione delle estensioni dei file. Una delle scelte più disgraziate fatte dalla Microsoft è quella di nascondere di default le estensioni dei file conosciuti (cioè dei file associati ad un particolare programma) da Windows. Ciò permette di inviare allegati con nomi come fattura.pdf.exe o guardami.jpeg.exe che, una volta scaricati sul PC, appaiono come degli inoffensivi fattura.pdf o guardami.jpeg. Una volta fatto doppio click su uno di questi file (in realtà programmi contenenti qualche virus o altro malware) la frittata è fatta.

Le cose diventano più chiare: ai file con le icone bianche è stata aggiunta una estensione strana, con dei caratteri apparentemente casuali. È chiaro che è una cosa seria, non sembra affatto un banale virus.

Inoltre, in tutte le cartelle compare un nuovo file html. Lo guardo e… accidenti, sono le istruzioni per recuperare i file.

Istruzioni CryptoLocker

Ma che diavolo è successo? E, soprattutto, cos’è questo CryptoLocker?
(anche se si tratta in realtà di TorrentLocker, il ransomware si autodefinisce CryptoLocker, probabilmente per sfruttare la fama sinistra del nome originale).

Non c’è altro da fare che cercare informazioni in rete. Ma prima devo cercare di capire cosa ha fatto veramente Virginia.

“Guarda Virginia, come vedi la cosa è grave. Mi dici che hai fatto prima che il computer smettesse di funzionare?” (le parole pensate erano ben diverse).

“Ma niente.”

“Come niente, devi aver fatto qualcosa.”

“Ma no, che vuoi che abbia fatto? Stavo solo guardando la posta.”

“Ok, ma mentre guardavi la posta è successo qualcosa di strano?”

“Niente, leggevo solo le email.”

Alla fine, dopo un numero infinito di tira e molla, Virginia mi fa vedere una email della SDA. O almeno, una email che sembrava provenire dalla SDA.

Una finta email da SDA

Basta una occhiata per capire che è finta. Le Poste Italiane hanno tanti difetti, ma non potrebbero mai inviare una email con questi errori.

I dettagli li ho capiti solo dopo, ma era evidente che qualunque cosa avesse infettato il computer di Virginia arrivava da lì.

“Quindi hai cliccato su questa email?”

“Stavo aspettando un pacco da Amazon, ho visto questa email e ho pensato fosse quello.”

“Scusa, ma se aspettavi un pacco da Amazon, perché dovrebbe arrivare da SDA?”

“Boh, e che ne so? Avevo fretta, ho visto questa email, ho pensato che fosse di Amazon e ci ho cliccato sopra.”

L’altra frase fatidica: “Avevo fretta”. Fretta, fretta, fretta, cento cose da fare sempre insieme, mai pensare prima di cliccare. Come se il tempo perso a recuperare i danni fatti per la fretta non contasse. Mai.

Mi metto a girare per la rete e scopro l’esistenza dei ransomware, di cui fino a quel momento non sapevo nulla, o quasi. Leggo di CryptoLocker, il ransomware che, apparentemente, aveva infettato il computer di Virginia.

Strananamente, però, quello che leggo su CryptoLocker non coincide affatto con quello che sto osservando io, proprio in quel momento. Alla fine, a fatica, mi rendo conto di avere a che fare con una variante più recente di CryptoLocker, denominata TorrentLocker, che si sta diffondendo rapidamente in tutta Europa, e che utilizza astutamente dei messaggi di posta elettronica adattati ai singoli paesi.

Leggo anche che la prima versione di TorrentLocker aveva un grosso baco e che è disponibile un programma il quale, confrontando un file originale con quello crittografato, può determinare la chiave di decrittazione dei file. I dettagli del baco erano stati pubblicati e, nella seconda versione di TorrentLocker, l’autore aveva corretto il suo stesso errore, rendendo inviolabile il sistema di crittografia.

Ovviamente il TorrentLocker che aveva infettato il computer di Virginia era quello più recente e inviolabile.

Detto così sembra semplice, ma ci sono voluti due giorni per rendersi conto di tutto questo e per arrivare alla conclusione che non c’era niente da fare. Oltre che per fare il backup su un disco esterno dei file infetti (non si sa mai, magari prima o poi usciva fuori un tool di decrittazione efficace).

Virginia, per fortuna, poteva recuperare quasi tutto dai backup sul NAS dipartimentale e dai file presenti sul suo notebook personale.
TorrentLocker, infatti, infetta anche i dischi di rete montati con una lettera di unità, come succede normalmente in Windows. Aver isolato istintivamente il suo computer dal resto della rete locale aveva permesso di limitare i danni e di evitare che venissero crittografate anche le copie di backup dei file.

C’è voluto un’altro giorno per reinstallare Windows e le applicazioni principali e per recuperare i file dai backup. Per fortuna TorrentLocker non infetta i messaggi di posta elettronica, che erano rimasti intatti sul disco infettato dal ransomware.

Insomma, un lavoraccio, altro che una mattinata buttata via! E tutto per non perdere qualche secondo a pensare, prima di cliccare su un link fasullo di un messaggio di posta elettronica!

E Virginia, intanto? Nonostante la invitassi a seguire quello che facevo, ad imparare qualcosa per essere meno attaccabile nel futuro e a darmi almeno una mano a recuperare i file dai backup, Virginia continuava tranquillamente a fare le sue cose come se non fosse successo niente. Non aveva tempo: una scadenza qui, un’urgenza lì… Da lasciarla di brutto lì, in mezzo ai guai, a cavarsela da sola.1

Lascio a voi i commenti.

Il mio è: mai, mai, mai fare supporto tecnico gratuito (o al massimo, limitarsi a farlo solo ed esclusivamente con i parenti stretti e gli amici fidati). Perché ormai il valore delle cose è collegato al costo.
Se ti fai pagare, quello che fai vale. Se lo fai gratis, c’è poco da fare, non vale niente.

“Dai, per favore, puoi venire a vedere? Lo so che non hai tempo, ma che ci vuole, due minuti?”


Per approfondire


  1. Non l’ho fatto per senso di responsabilità e, forse, perché sono nonostante tutto una persona educata. Ma il sodalizio con Virginia ha cominciato a creparsi ed è finito poco dopo, per motivi ben più seri. Ma questa è un’altra storia. 
Advertisements
Tagged with: , ,
Pubblicato su software
13 comments on “CryptoLocker, no TorrentLocker
  1. frix ha detto:

    È strana ma curiosa la schizofrenia di leggere il post qui e su quickloox.

    Sono fortunato, pur usando il computer dagli anni ’80, ho messo le mani per la prima volta su un pc Windows solo nel 2002. Quindi la mia ignoranza di quel sistema mi protegge da esperienze come la tua.
    Spesso prevenire è meglio che combattere. ;D

    Mi piace

  2. Giovanni ha detto:

    “Se ti fai pagare, quello che fai vale. Se lo fai gratis, c’è poco da fare, non vale niente.”
    Accidenti è vero! Non ci avevo mai riflettuto su questo aspetto degli straordinari che gli utenti (sua certi siti si diceva una “utonti”) windows nei nostri uffici ci costringono a fare (anche se il più delle volte io me la cavo veramente in due minuti: basta un riavvio o controllare le connessioni).
    Purtroppo poi spesso capita che “…Guardo il monitor e il mio interesse all’improvviso va a mille…”, sorge il gusto della sfida e la mia paga è la nel riuscire ad averla vinta sulla macchina. Gli “utonti” forse lo sanno, per noi può diventare divertente, sembra quasi ci facciano un regalo.
    Per me che non sono un esperto è stato così: ho sono problemi banali che risolvo veramente in pochi minuti o c’è stato qualcosa di più importante che mi ha dato l’occasione di imparare qualcosa di nuovo e non ho mai pensato di monetizzare il mio tempo. Forse però nel tuo caso è diverso.
    Comunque bel post, ho iniziato a leggerlo da all’altra parte e l’ho terminato qui per commentare.

    Mi piace

    • Sabino Maggi ha detto:

      Hai ragione, il guaio è proprio la sfida, il piacere intellettuale di risolvere un problema, il farsi prendere dal gusto della sfida senza guardare al tempo o alle difficoltà.
      Quello che da fastidio… francamente mi rendo conto che sia difficile da spiegare, senza conoscere ambiente e circostanze. In due parole è il fatto che vengano in ginocchio quando hanno un problema, ma che lo sottovalutino quando è stato risolto. Ma non rende per niente quello che succede.

      Mi piace

  3. MailMaster C. ha detto:

    E’ successo anche alla moglie di un mio collega, sembra con un pdf sempre via posta. Appena capito di cosa si trattava ho subito detto: recupera i backup e formatta la macchina, non c’è niente da fare se non vuoi pagare.
    In questo caso la sfida intellettuale e tutte queste cose molto belle sono scese in fondo alla scala, ed è emerso il senso molto pratico. Sicuramente aiutato dall’asserzione del collega che aveva i backup e che non avrebbe perso quasi nulla.

    Complimenti comunque per il tuo senso del dovere.

    Piccola considerazione a latere, sull’aspetto remunerativo: mia zia di quasi 80 anni felice fruitrice di iPad e ancora attiva dal punto di vista di scrittura e ricerche accademiche, ha deciso di passare al mac. Purtroppo abitiamo a centinaia di km di distanza, quindi non le posso fare assistenza e insegnamenti in diretta. Nella sua città, 50.000 abitanti, c’è un solo centro Apple, che si presta a fare lezioni individuali a casa del cliente per la modica somma di 60 euro l’ora. Non commento perchè non è il luogo indicato a certi commenti.

    Mandi

    Mi piace

    • Sabino Maggi ha detto:

      Il senso del dovere ce l’ho, purtroppo. Ma ormai ho imparato a usarlo quando ne vale la pena.

      In questo caso specifico, parlerei di più di spirito e di attitudine alla collaborazione e al lavoro di gruppo. Come ho detto, con Virginia ci ho lavorato e collaborato per anni. E quando collabori con qualcuno è normale che quello che succede a lui tocchi, magari in modo indiretto, anche te.
      I file persi da Virginia erano anche documenti o progetti scritti insieme, note di lavoro, file di dati, e comunque la perdita poteva distrarla da altre attività comuni in corso. Ecco uno dei motivi per cui mi sono dato tanto da fare, oltre al semplice senso del dovere e dell’amicizia.

      Nel mio lavoro collaborare è normale si mettono insieme competenze diverse per ottenere una somma maggiore dei singoli addendi: io faccio la misura (o il calcolo) A, tu la misura (o il calcolo) B, mettendo insieme i risultati di A e di B possiamo spesso capire e spiegare di più di quello che potremmo fare utilizzando solo A o B.
      Un’altra cosa essenziale è la fiducia nelle competenze reciproche: se io so fare A e tu B, devo potermi fidare delle tue competenze e dei tuoi risultati, magari perché io non so niente delle tue misure (e tu delle mie) e non posso (o non ho il tempo) di metterci il naso (in inglese si dice scrutinize che rende molto bene l’idea).
      I guai nascono quando viene fuori che tu che fai B in realtà non sai farlo al meglio (o non sai farlo proprio): la collaborazione da biunivoca diventa univoca (io faccio il lavoro e tu ne ricavi solo vantaggi senza dare nulla in cambio) e prima o poi porta guai.
      Con Virginia pochi mesi dopo l’episodio del ransomware è successo proprio questo. Ma non è ancora il momento di parlarne.

      Mi piace

      • MailMaster C. ha detto:

        Ecco, lo spirito di collaborazione lavorativa che citi io lo farei rientrare nel senso del dovere, di cui sei innegabilmente dotato. Hai ragione su tutta la linea, e concordo sulle tue azioni. La differenza nel caso mio è che Virginia ha determinato un danno indiretto anche a te, nel caso mio erano dati personali, quindi ero meno coinvolto.

        Per inciso, per chi è interessato al tuo discorso sulle conoscenze A e B delle persone suggerisco un talk in inglese di Luciano Floridi che parla (come al solito) di tante cose, ma analizza bene questo discorso: mettere assieme non solo due conoscenze ma anche due non conoscenze o incertezze, è un vantaggio per tutti. (https://www.youtube.com/watch?v=mhbE5Jvju-A). Ci sono anche diversi papers suoi.

        Io mi sto chiedendo, alla luce di alcuni recenti e incresciosi episodi che mi sono capitati nella vita lavorativa, se l’atteggiamento menefreghista o proprio (troppo spesso per la mia esperienza) di deliberato ostacolo ad un lavoro di gruppo efficace sia una prerogativa tipicamente italiana e in particolare delle grandi aziende (che hanno una forza d’inerzia altissima per cui se anche qualche dipendente non fa o fa male, alla fine le cose vanno avanti lo stesso), o anche all’estero è presente questo atteggiamento.
        L’idea di abbandonare questa mediocrità lavorativa e di andarmene all’estero in questo momento è fortissima, almeno per trovare un clima lavorativo sano, competitivo anche, ma di rispetto per la persona e per il lavoro svolto e che non obblighi a lottare tutti i giorni contro gli amici degli amici, contro le soluzioni professionali sbagliate sotto tutti i punti di vista ma imposte dall’alto.
        E con questo mi ricollego al tuo sacrosanto discorso sulla fiducia reciproca: troppo poca, su troppe poche persone. Per lo meno da queste parti.
        Ma fuori da qui, oltr’alpe e oltre mare, come stanno le cose?
        Grazie.

        Mandi.

        Mi piace

        • Sabino Maggi ha detto:

          La domanda è molto interessante e mi coinvolge parecchio (in particolare in questo momento). Proprio per questo non posso (né voglio) rispondere su due piedi, magari riesco a farci un post completo (ma non trattenere il respiro).
          In due parole, però, non posso non dire che non cambia molto — tranne la minore incidenza di parentele e amicizie — perché c’è sempre in ballo il Principio di Peter. Per iniziare a capire qualcosa: The Peter principle revisited: A computational study. Se non puoi scaricarlo, ti invio il pdf via email (anche se c’è un modo migliore, ma questo è già pianificato per un prossimo articolo).

          Mi piace

          • MailMaster C. ha detto:

            Grazie della segnalazione, non conoscevo il Principio di Peter. In effetti un invio via mail sarebbe gradito! 🙂
            Non so se si ricollega all’effetto Dunning-Kruger, ma l’argomento è più o meno quello, mi sembra.

            Attendo il post senza trattenere il respiro! 🙂

            Mandi

            Mi piace

          • Sabino Maggi ha detto:

            No, di quello soffre evidentemente il nostro FF abusivo. Il principio di Peter stabilisce che salendo di grado prima o poi si arriva ad un livello nel quale si è incompetenti. L’articolo linkato mostra tramite simulazioni che è globalmente preferibile quindi che l’avanzamento di carriera avvenga in modo casuale o scegliendo i peggiori, non i migliori. La nostra classe politica/imprenditoriale è maestra in questo.

            Mi piace

  4. dataghoul ha detto:

    Da quando, tempo addietro, ho realizzato che l’unica risposta possibile alla domanda “ma tu te ne intendi di computer?”, da chiunque posta (ma in particolare dai colleghi di lavoro) è una repentina fuga, tanto repentina da lasciare il questuante con il dubbio se tu fossi davvero lì un momento prima oppure no.

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: