Malware: CryptoStopper

Protezioni attive (07/11/2023)

Windows Scripting Host^G (vecchia)

WinVerifyTrust Signature Validation^G 32 (nuova)

WinVerifyTrust Signature Validation 64^G (nuova)

I CryptoVirus arrivano come allegati della posta (pdf, zip, ecc.), e tramite un programma nascosto criptano i documenti chiedendo poi un riscatto.

All’interno dell’allegato si nasconde un piccolo programma apparentemente non pericoloso e non intercettabile da un antivirus se non in condizioni molto particolari: gli antivirus confrontano stringhe, ed i ransomware sono continuamente modificati proprio per nascondersi meglio. L’euristica serve a poco, perché andare su internet e scaricare qualcosa è una operazione che il 99% dei programmi effettua legalmente.

Una persona inconsapevolmente scarica l’allegato e lo apre. Il CryptoVirus^W si attiva (è uno script JavaScript^W o Vb Script^W, di fatto n programma) e scarica, da qualche parte della rete, il virus vero e proprio. Quest’ultimo prenderà possesso dei vostri dati, li cripterà, rendendoli illeggibili, con una password robusta e vi chiederà un riscatto economico per poterli nuovamente utilizzare.

Non esistono modi concreti (significa: immediati e sicuri) per rendere leggibili ed utilizzabili i dati criptati dal virus. In alcuni casi dopo un certo tempo la chiave di decifrazione è stata rilasciata, ma sul breve periodo non c’è nulla da fare: se non si ha una copia di sicurezza aggiornata c’è ben poco da fare.

L’unica ancora di salvezza certa è (come sempre) il backup^W aggiornato: con una copia di sicurezza dei dati aggiornata il problema diventa di scarso impatto, ma senza la situazione diventa problematica, ed a volte non resta che sottostare alle richieste.

Tutti, ma proprio tutti, non danno abbastanza importanza alle copie di sicurezza^W. Un computer è un pezzo di ferro che fa delle cose. Il suo valore non sono i pezzi che lo compongono ma il contenuto dei dischi, cioè il tempo che usiamo per produrre i files^W negli hard disk^W; questo valore consiste nei documenti stessi. Proviamo a dare un valore a cinque anni di lavoro, e consideriamo che, in tutta buona fede, un disco può anche rompersi da solo.

Giacché ci troviamo vorrei introdurre il concetto del MTBF^W (Medium Time Between Failure^W), che ci da la sicurezza che il nostro hard disk si romperà, così anche i più resistenti comprenderanno che non è una faccenda di “se” ma di “quando”. Tanto lo so che è tutto inutile e che queste parole saranno presto dimenticate.

Il sistema di infezione dei Ransomware sfrutta una falla di Windows®^W risalente al 2004, quando con Windows® 2000^W Microsoft©^W presentò Active Directory®^W: il problema era l’esecuzione incondizionata dei programmi realizzati con linguaggi di scripting di vario genere: script^W JS^W (JavaScript^W) e VBS^W (VB Script^W), principalmente. Da allora nulla è stato fatto e gli script sono sempre eseguibili senza alcun controllo preventivo o richieste di autorizzazioni. Si può disattivarne l’esecuzione attraverso il registro^W, ma la gestione degli script ‘legali’ diventa complessa e può rappresentare un problema per gli utilizzatori.

CryptoStopper consente di disattivare l’esecuzione incontrollata di script. Per venire incontro agli utilizzatori consente di riattivarne l’esecuzione temporaneamente per un numero stabilito di minuti; al termine il sistema viene automaticamente rimesso in stato di protezione.

Nell’uso normale del computer gli script si incontrano davvero di rado, ed a parte casi particolari non ci si accorgerà neanche di averne disattivato l’esecuzione. In tutti i casi è meglio un messaggio in più che un disco inutilizzabile.

All’avvio CryptoStopper verifica lo stato del sistema e consente di attivare (se si desidera) la protezione; si tratta della chiave del registro ‘HKCU\Software\Microsoft\Windows Script Host\Settings’ in cui ‘Enabled’ = ‘0’ indica che l’esecuzione degli script è disattivata, mentre il valore ‘1’ ne consente l’esecuzione. Impostata la protezione, CryptoStopper consente di disattivarla temporaneamente per un certo numero di minuti.

: AVVIO: CS avvisa che il sistema non è protetto

: AVVIO: il sistema è protetto

: AVVIO: il sistema non è protetto

: Menu generale del programma

: Informazioni sul programma, con una descrizione della problematica

: La protezione è stata temporaneamente sospesa per 5 minuti.

: Menu dei minuti per la sospensione temporanea della protezione

: Test del sistema: CS spiega in cosa consiste.

: Test del sistema: il sistema è protetto e WSH non ha eseguito lo script.

: Test del sistema: il sistema non è protetto e WSH ha eseguito lo script.

Per uscire da CryptoStopper è necessario usare il comando ‘Esci’ del menu, perché la [X] lo inserisce nell’area vicino all’orologio (trayicon^W). In tutti i casi una volta attivata la protezione (cioè modificata la chiave del registro) non è più necessario che il programma sia in funzione.

ATTENZIONE: CryptoStopper non è un programma per la sicurezza (almeno in senso stretto): non funziona in tempo reale, non intercetta nulla, una volta impostato non deve neanche essere caricato: corregge un problema agendo sul registro e fornendo un minimo di interfaccia per la gestione. Non risolve il problema generato dai Ransomware ma, limitatamente alle versioni che utilizzano uno script come loader, può impedire che possano scaricare il virus vero e proprio.

NB: CryptoStopper è gratuito; l’autore garantisce, per la versione ufficiale scaricata da questo sito, la totale assenza di codice malevolo di qualsiasi genere. CryptoStopper modifica una chiave del registro (mette a ‘0’ o ‘1’ il valore ‘Enabled’ della chiave ‘HKCU\Software\Microsoft\Windows Script Host\Settings’) e, se si desidera, si inserisce per l’esecuzione automatica all’avvio di Windows®. Per il resto non richiede installazione, non installa componenti di alcun genere, non scrive sul disco, non usa internet, non memorizza alcun tipo di dato.
Scarica CriptoStopper (13139 download )
–

RAR

~180k

Non si installa, basta eseguirlo.

I sorgenti sono disponibili e saranno forniti gratuitamente a chi ne farà richiesta garantendo riservatezza ed identità.

CryptoStopper.rar 48.877 bytes
HASH SHA1 8669966C45425B2FA2A5B027A776D31B55D30B1E

CryptoStopper.exe 180.224 bytes
HASH SHA1 050CC0C9D0DD2F0D7BBD01D1D9B863E1E9A7D433

Come calcolare l’hash con Windows 10

da prompt dei comandi (win/R):
certutil -hashfile <percorso e nome del file> SHA1

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 anno	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazionali".
CookieLawInfoConsent	1 anno	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_20397258_1	1 minuto	Impostato da Google per distinguere gli utenti.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Internet e le maiuscole

PLUGIN WP: LINK TO WIKI

Internet e le maiuscole

PLUGIN WP: LINK TO WIKI

Protezioni attive (07/11/2023)

I CryptoVirus arrivano come allegati della posta (pdf, zip, ecc.), e tramite un programma nascosto criptano i documenti chiedendo poi un riscatto.

L’unica ancora di salvezza certa è (come sempre) il backupW aggiornato: con una copia di sicurezza dei dati aggiornata il problema diventa di scarso impatto, ma senza la situazione diventa problematica, ed a volte non resta che sottostare alle richieste.

CryptoStopper consente di disattivare l’esecuzione incontrollata di script. Per venire incontro agli utilizzatori consente di riattivarne l’esecuzione temporaneamente per un numero stabilito di minuti; al termine il sistema viene automaticamente rimesso in stato di protezione.

RAR

~180k

Non si installa, basta eseguirlo.

I sorgenti sono disponibili e saranno forniti gratuitamente a chi ne farà richiesta garantendo riservatezza ed identità.

Come calcolare l’hash con Windows 10

CONSENSO AI COOKIES

L’unica ancora di salvezza certa è (come sempre) il backup^W aggiornato: con una copia di sicurezza dei dati aggiornata il problema diventa di scarso impatto, ma senza la situazione diventa problematica, ed a volte non resta che sottostare alle richieste.