Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

TeslaCrypt: conoscerlo e difendersi

Imparare a conoscere TeslaCrypt, uno dei più noti e diffusi crypto-ransomware: come agisce ed in che modo è possibile tentare di limitarne le azioni.
Imparare a conoscere TeslaCrypt, uno dei più noti e diffusi crypto-ransomware: come agisce ed in che modo è possibile tentare di limitarne le azioni.
Link copiato negli appunti

Negli ultimi tempi, si è assistito ad una crescente diffusione dei cosiddetti ransomware, ovvero dei software malevoli (malware) che si contraddistinguono per "infastidire" in qualche modo più o meno grave l'utente, chiedendo un "riscatto" (ransom, in inglese) in cambio del ripristino del sistema alla normalità. I primi ransomware si limitavano ad infettare un PC, modificando il desktop ed aprendo continuamente schermate molto fastidiose per l'utente, che in genere visualizzavano delle istruzioni su come effettuare i pagamenti (tipicamente tramite BitCoin o altri metodi difficilmente tracciabili).

Ultimamente, purtroppo, questo tipo di malware si è evoluto, non limitandosi più solo a visualizzare qualche noiosa finestra, ma cifrando i dati sul PC (o sul dispositivo mobile) del malcapitato (per questo motivo si parla talvolta anche di crypto-ware). Questo modo di agire è ben più complicato da risolvere: una volta che il malware viene eseguito, esso inizialmente otterrà una chiave di cifratura (tipicamente tramite uno scambio di informazioni con un server, o utilizzando informazioni del sistema che lo ospita), ed una volta ottenuta la utilizzerà per cifrare i file contenenti dati più o meno significativi. Saranno quindi tipicamente cifrati documenti, immagini, file video, audio e molto altro. L'unico modo per decifrarne nuovamente il contenuto, ripristinando lo stato dei nostri dati, è (secondo quanto ci viene richiesto dai ransomware) il pagamento di un riscatto, a seguito del quale ci sarebbe fornita la chiave privata da utilizzare per la decifratura. E le cose vanno di male in peggio se si pensa che, in genere, anche dopo il pagamento del riscatto nessuno invierà mai alcuna chiave di decifratura...

Quest'ultimo modo di operare è tipico di alcuni ransomware che sono diventati molto diffusi negli ultimi anni, vale a dire CryptoLocker, TeslaCrypt, CBT-Locker ed il più giovane Petya. Il problema è che ognuno dei ransomware appena citati continua ad evolversi e ad essere migliorato, e ne vengono messe in circolazione versioni sempre diverse. La conseguenza di ciò è che proteggersi da questo tipo di attacchi non è mai semplice, ed è quasi sempre fondamentale intervenire in maniera quanto più tempestiva.

Nel seguito di questo articolo ci soffermeremo su TeslaCrypt, uno dei più diffusi ransomware in circolazione, che agisce tipicamente su Microsoft Windows. Questo malware è diffuso in molte varianti, ed anche per questo motivo è sempre più difficile difendersi una volta che il nostro PC viene attaccato. Cercheremo di capire in che modo agisce sul nostro sistema, come identificarlo, e quali strumenti utilizzare per provare a rimuovere TeslaCrypt e/o a recuperare il contenuto dei file.

Prevenzione: la migliore cura

Il modo migliore per difendersi da ogni ransomware è, ovviamente, prevenire ogni possibile infezione. Per questo motivo, è sempre indispendabile utilizzare un antivirus aggiornato, ma al tempo stesso è bene fare molta attenzione alle email che riceviamo, poichè spesso gli allegati possono nascondere alcuni file malevoli. Recentemmente, ad esempio, una versione di TeslaCrypt è stata rintracciata all'interno di file con estensione .mp3, mentre in altri casi il virus si è diffuso per mezzo di file eseguibili, o con estensioni più "originali", come .tmp, .eccetera o .pipistrello.

Purtroppo, può capitare a tutti di fare qualche errore, e di eseguire per sbaglio TeslaCrypt o altri ransomware. Nel seguito cercheremo di capire in che modo identificare l'eseguibile che cifra i nostri dati, in modo da arrestarne l'esecuzione ed eliminarlo. Ci soffermeremo quindi sulle possibilità di ripristino dei dati cifrati.

TeslaCrypt: come funziona

In genere, quando viene eseguito, TeslaCrypt ha bisogno di memorizzare alcuni file all'interno del nostro computer, per poi far sì che essi vengano eseguiti. Il primo file è il vero eseguibile che effettuerà la cifratura, e che spesso viene memorizzato in %UserProfile%Application Data.

Una volta creato questo file, TeslaCrypt 3.0 genera una chiave di registro per far sì che il file appena citato (che d'ora in avanti chiameremo payload.exe, ma che in realtà ha un nome generalmente casuale) venga eseguito sempre all'avvio di Windows. Ciò può essere verificato controllando che la chiave HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun contenga un contenuto simile al seguente:

"addon_v{number}" = "%UserProfile%Application Datapayload.exe"

Il malware crea inoltre un'ulteriore chiave di registro, del formato HKEY_CURRENT_USERSoftwarexxxsys.

A questo punto, il file payload.exe viene eseguito, ed inizierà a cifrare moltissimi tipi di file. Secondo i ricercatori di Symantec, le estensioni cifrate sono le seguenti (sebbene la lista potrebbe essere incompleta, e dipende comunque dalla versione di TeslaCrypt):

.7z .rar .m4a .wma .avi .wmv .csv .d3dbsp .sc2save .sie .sum .ibank .t13 .t12 .qdf .gdb .tax .pkpass .bc6 .bc7 .bkp .qic .bkf .sidn .sidd .mddata .itl .itdb .icxs .hvpl .hplg .hkdb .mdbackup .syncdb .gho .cas .svg .map .wmo .itm .sb .fos .mcgame .vdf .ztmp .sis .sid .ncf .menu .layout .dmp .blob .esm .001 .vtf .dazip .fpk .mlx .kf .iwd .vpk .tor .psk .rim .w3x .fsh .ntl .arch00 .lvl .snx .cfr .ff .vpp_pc .lrf .m2 .mcmeta .vfs0 .mpqge .kdb .db0 .DayZProfile .rofl .hkx .bar .upk .das .iwi .litemod .asset .forge .ltx .bsa .apk .re4 .sav .lbf .slm .bik .epk .rgss3a .pak .big .unity3d .wotreplay .xxx .desc .py .m3u .flv .js .css .rb .png .jpeg .txt .p7c .p7b .p12 .pfx .pem .crt .cer .der .x3f .srw .pef .ptx .r3d .rw2 .rwl .raw .raf .orf .nrw .mrwref .mef .erf .kdc .dcr .cr2 .crw .bay .sr2 .srf .arw .3fr .dng .jpe .jpg .cdr .indd .ai .eps .pdf .pdd .psd .dbfv .mdf .wb2 .rtf .wpd .dxg .xf .dwg .pst .accdb .mdb .pptm .pptx .ppt .xlk .xlsb .xlsm .xlsx .xls .wps .docm .docx .doc .odb .odc .odm .odp .ods .odt

Ai file cifrati, inoltre, è talvolta aggiunta l'estensione .mp3. Ovviamente, provando a riprodurre tali file, il nostro riproduttore musicale non potrà che mostrarci un errore. È comunque sconsigliabile provare a riprodurre questi file se si intuisce che il PC è sotto l'azione di un malware come TeslaCrypt: ancora una volta, prevenire è meglio che curare...

A completamento di quanto sopra descritto, TeslaCrypt provvede alla generazione di alcuni file con le istruzioni per il pagamento del "riscatto". Tali file hanno, in genere, nomi simili a _H_e_l_p_RECOVER_INSTRUCTIONS{ID} o recover_file_{random_ID}.txt, ed estensioni di tipo .txt, .png ed .html. Essi conterranno tipicamente una spiegazione (in inglese) di cosa è successo ai nostri file, ed una richiesta di pagamento tramite uno o più servizi non tracciabili.

Figura 1. Pagina HTML con le istruzioni per il pagamento, generata da TeslaCrypt (click per ingrandire)

Pagina HTML con le istruzioni per il pagamento, generata da TeslaCrypt

Se ci accorgiamo di avere subito l'azione malevola di TeslaCrypt, è bene correre immediatamente ai ripari.

Rimozione di TeslaCrypt: i tool

La prima cosa da fare per rimuovere TeslaCrypt è riavviare il PC in modalità provvisoria (Safe Mode, in inglese). Per farlo, è sufficiente premere continuamente il tasto F8 prima che compaia la schermata di avvio di Windows, in fase di boot.

In modalità provvisoria, assicuriamoci inoltre di effettuare l'accesso con un account che disponga dei privilegi di amministratore.

A questo, la rimozione di TeslaCrypt (che, in modalità provvisoria, non dovrebbe essere eseguito all'avvio) può essere effettuata rimuovendo il sopra citato file payload.exe e le chiavi di registro incriminate (tramite regedit), oppure utilizzando uno dei tool diffusi su internet, e pensati proprio per questo scopo. Tra questi tool, citiamo SpyHunter, ma anche una soluzione alternativi sviluppata da PCrisk e scaricabile a questo link. È bene precisare, però, che non sempre questi strumenti funzioneranno, anche perchè TeslaCrypt (così come tutti gli altri ransomware) è in continua evoluzione, e potrebbe non essere riconosciuto da antivirus e simili. Il metodo migliore, quindi, è cercare i file eseguibili sospetti nella cartella %UserProfile%Application Data, e provare a rimuovere essi e le relative chiavi di registro.

Purtroppo, anche nel caso in cui la rimozione di TeslaCrypt (che non è mai cosa semplice) vada a buon fine, i file già cifrati rimangono illegibili, e non è sempre semplice recuperarne il contenuto. Anche se è possibile fare qualche tentativo.

Decifratura dei file

È bene chiarire subito una cosa: se l'algoritmo di cifratura di un crypto-ransomware è ben congegnato e correttamente funzionante, c'è poco che possiamo fare per ripristinare i file. Si potrebbe, in casi estremi, ricorrere a programmi di recupero dei file eliminati (come Recuva o simili), oppure tentare di cercare alcune copie che Windows talvolta crea automaticamente (le cosiddette shadow copies), utilizzando ShadowExplorer.

Prima di arrivare a ciò, però, è bene precisare che spesso gli algoritmi di cifratura utilizzati dai ransomware hanno qualche falla di sicurezza. Non è chiaro se ciò sia dovuto alla "negligenza" degli hacker che implementano tali malware, oppure se si tratti di una scelta consapevole, che lasci una sorta di backdoor per ripristinare comunque i file. Fatto sta che alcuni ricercatori hanno implementato software in grado di decifrare i file corrotti da alcune versioni di TeslaCrypt, ed è sempre il caso di tentare di utilizzarli.

Kaspersky, ad esempio, ha reso pubblica una lista di decrypter che potrebbero essere in grado di decifrare correttamente i file corrotti da TeslaCrypt e da altri ransomware simili. Il Talos Group di Cisco ha invece prodotto un tool (scaricabile a questo link, e destinato principalmente a TeslaCrypt) che utilizzando un file key.dat contenente le informazioni di cifratura di TeslaCrypt. Alcune versioni di questo ransomware, infatti, creano un file di questo tipo sempre in %UserProfile%Application Data, contenente la chiave di cifratura. Da essa, talvolta, può essere ricavata una chiave di decifratura per effettuare il processo inverso, sfruttando una vulnerabilità generata in fase di generazione delle chiavi.

Un'altra utility rilasciata più di recente è TeslaDecoder, che potete trovare allegata a questo articolo in forma di archivio .zip. Recentemente è stata rilasciata una versione aggiornata di questo tool che dovrebbe essere in grado di decifrare i file bersagliati dalle ultime versioni di TeslaCrypt. Nel seguito vedremo proprio come utilizzare questo tool.

Dopo avere mietuto un gran numero di vittime, infettando un numero di computer oramai difficilmente stimabile, il team di sviluppo di TeslaCrypt sembra avere deciso di abbandonare il progetto e rilasciare la chiave per la decifratura dei file infettati. Da qualche tempo a questa parte, infatti, sul sito di TeslaCrypt non sono più visibili le istruzioni per pagare ed ottenere la chiave, essendo state sostituite dalla schermata seguente:

Figura 2. La master key rilasciata sul sito di TeslaCrypt (click per ingrandire)

La master key rilasciata sul sito di TeslaCrypt

Utilizzando questa informazione, un esperto di sicurezza specializzato proprio su TeslaCrypt, e conosciuto come BloodDolly, ha potuto aggiornare alla versione 1.0 il suo tool TeslaDecoder. Potete trovarlo allegato a questo articolo, o direttamente a questo link. Di seguito, vedremo come usarlo per decifrare qualsiasi tipo di file criptato con le più recenti versioni di TeslaCrypt.

Utilizzare TeslaDecoder

Una volta scaricato il tool (i cui file sono tutti compressi in un unico archivio .zip), non dovremo far altro che scompattarlo ed eseguire il file TeslaDecoder.exe. Verrà quindi aperta la finestra seguente:

Figura 3. L'interfaccia di TeslaDecoder (click per ingrandire)

L'interfaccia di TeslaDecoder

Clicchiamo a questo punto su Set Key, da cui è possibile selezionare l'estensione dei file da cifrare. Sulla base dell'estensione dei file cifrati, infatti, è necessario che venga utilizzata una chiave di decifratura diversa, che verrà automaticamente selezionata da TeslaDecoder. Inoltre, con TeslaDecoder è possibile ripristinare anche i file che, dopo l'attacco di TeslaCrypt, vengono salvati senza alcuna estensione: in questo caso, dovremo selezionare la voce <as original>.

Figura 4. Selezione dell'estensione dei file cifrati su TeslaDecoder (click per ingrandire)

Selezione dell'estensione dei file cifrati su TeslaDecoder

Non resta adesso che cliccare sul pulsante Set Key, in modo da procedere alla decifratura vera e propria. A questo punto, infatti, possiamo decidere di decifrare una directory selezionata, oppure lasciare che TeslaDecoder scansioni l'intero PC. Per la prima opzione, clicchiamo su Decrypt folder; se invece vogliamo che vengano decifrati tutti i file "infetti" presenti nel nostro PC, selezioniamo l'opzione Decrypt all.

Una volta scelta l'opzione di decifratura, TeslaDecoder ci chiederà se vogliamo sovrascrivere tutti i file decifrati, o se preferiamo mantenere sia la versione originale (prima della decifratura) che quella decifrata. Quest'ultima opzione è preferibile, poichè nel caso in cui (per qualche motivo) TeslaDecoder dovesse fallire, avremo comunque una copia dei file cifrati ancora integra. Nel caso in cui si fosse scelto di non sovrascrivere i file, i file originali saranno rinominati con estensione .TeslaBackup.

Al termine del processo di decifratura che segue, TeslaDecoder ci mostrerà un report di riepilogo del processo di decifratura.

Figura 5. Il report visualizzato su TeslaDecoder al termine della procedura (click per ingrandire)

Il report visualizzato su TeslaDecoder al termine della procedura

Conclusioni

Come si vede, utilizzare TeslaDecoder è abbastanza semplice, ma non possiamo mai essere sicuri al 100% che si tratti di una soluzione universalmente efficace. Sicuramente, TeslaCrypt è solo uno dei tanti ransomware attualmente in circolazione, e non è comunque possibile escludere che il team di hacker che lo ha sviluppato decida di rilasciarne una nuova versione.

Purtroppo non esistono sempre soluzioni specifiche ai danni che un ransomware è in grado di produrre, ed il più delle volte la cura migliore è la prevenzione. Tenere sempre un (buon) antivirus aggiornato è indispensabile, e parimenti è necessario effettuare periodicamenti un backup dei propri dati, memorizzandoli in un posto sicuro, dove l'azione di cifratura di TeslaCrypt non può arrivare (ad esempio, salvandolo in un hard disk USB esterno, non connesso al PC).

Ti consigliamo anche