Segnalazioni
Se avete ricevuto o siete stati infettati da un ransomware come Cryptolocker, CTB-Locker, Cryptowall, Torrentlocker, TeslaCrypt, Locky o i più recenti potete mandarci una segnalazione per permetterci di verificarne la tipologia e studiarne il comportamento.
Allo stesso modo, se avete sviluppato un software per difendersi dai ransomware o per recuperare i documenti cifrati dai cryptovirus, potete lasciare un commento in questa sezione, fornendo se possibile qualche dettaglio tecnico e comparativo sul prodotto che aiuti il lettore a farsi un’idea del sistema senza dover necessariamente visitare link.
Se avete ricevuto una mail con una richiesta di fattura, una bolletta ENEL, una mail con il tracciamento di una spedizione DHL, SDA o altri corrieri e siete convinti che possa trattarsi di un ransomware, inviateci una segnalazione inoltrando la mail all’indirizzo [email protected]. Tipicamente infatti i cryptovirus vengono trasmessi tramite mail, o come allegato o invitandovi a cliccare su un link al quale troverete una pagina che si finge il sito di un corriere o di una compagnia elettrica, dell’acquedotto, un servizio postale, etc… e vi invita a scaricare il trojan. In genere i trojan come Cryptolocker vengono mascherati come finte fatture in PDF, Word (DOC o DOCX) o Excel (XLS, XLSX) ma anche all’interno di file compressi ZIP/RAR o con estensione SCR, PF, CHM o JS.
Se vi siete imbattuti in un sito web che ha causato l’infezione tramite Exploit Kit o tramite download di software compromesso, indicateci l’URL del sito e, se possibile, inviateci copia del download compromesso dal malware.
Ricordiamo che non si tratta di un servizio a pagamento di recupero file criptati: la vostra segnalazione servirà per contribuire alla ricerca contro i ransomware e cercheremo di fornirvi indicazioni sul tipo di compromissione, sulla possibilità di decriptare i documenti e rimuovere il virus indicando gratuitamente – ove possibile – come decifrare o recuperare i file criptati dai ransomware.
Per inviare segnalazioni inviate una mail a [email protected] allegando se possibile:
- Se avete ricevuto una mail sospetta e non l’avete cancellata, copia dell’email contenente il trojan, in ogni caso è importante segnalare se il mittente è uno dei vostri contatti o comunque un conoscente;
- Se siete stati infettati dal ransomware navigando sul web, il sito su cui stavate navigando, il Sistema Operativo (Windows, Mac OS, Linux, Android, iOS, etc…) e il Browser (Internet Explorer, Chrome, Firefox, Safari, etc…) utilizzato.
- Se siete già stati infettati, i riferimenti al metodo di contatto indicato dai ricattatori, che può essere uno dei seguenti:
- un file con le istruzioni per il pagamento del riscatto, in genere lasciato sul Desktop, nella cartella Documenti o nelle directory contenenti i file criptati (es. “ISTRUZIONI_DECRITTAZIONE“, “DECRYPT_INSTRUCTIONS“, “COME_RECUPERARE_I_FILE” e formato HTML o TXT);
- un indirizzo di posta elettronica (talvolta i file criptati vengono rinominati aggiungendo all’estensione un numero identificativo e un indirizzo email, come ad esempio “Tesi di [email protected]“);
- Almeno tre file criptati, preferibilmente con estensione .DOC e .XLS. Se riuscite a recuperarli (es. da qualche backup o email) inviate anche i corrispondenti file originali, non criptati.
- Se non volete o potete inviare i file criptati e originali, indicateci l’estensione dei file criptati, cioè cosa è stato aggiunto dopo il nome del file (es. “.ENCRYPTED”, “ECC”, etc…);
- Nella denegata ipotesi in cui abbiate pagato il riscatto o contattato i delinquenti, vi chiediamo di farci avere le mail di risposta dei criminali in formato EML (RFC 822) così da poter acquisire informazioni utili per tentare di rintracciarli e il software per la decifratura che vi hanno eventualmente fornito (in genere chiamato “decryptor.exe“), facendoci sapere anche se ha funzionato per decriptare i vostri documenti.
- Se riuscite e non avete problemi di privacy sui nomi dei file presenti sul vostro PC, inviateci il listing (cioè un file con nome, percorso e data di ultima modifica) dei file del disco sul quale gira il Sistema Operativo. Ipotizzando che il disco sul quale gira Windows sia il disco C: digitate il seguente comando nel campo di ricerca in basso a sinistra su sistemi Windows: cmd /c dir C:\ /a/s > “%userprofile%\dirc.log”. In alternativa, aprite il prompt del dos e digitate il comando dir C:\ /a/s > “%userprofile%\dirc.log”. In entrambi i casi, troverete un file dal nome “dirc.log” presente nella vostra cartella utente. Comprimetelo e inviatelo fra il materiale allegato alla mail di segnalazione per il ransomware che potrete inviarci per permetterci di fornirvi un feedback sulla possibilità di decifrare gratuitamente i file o comunque a fini di ricerca.
- Se durante l’infezione avevate un antivirus attivo sul PC/Server, oppure un antimalware, anti-apt, segnalateci se potete – sempre a fini di ricerca – il prodotto utilizzato, se avevate una configurazione particolare, il numero di versione e se avevate aggiornato la definizione dei virus, indicando se possibile la data di aggiornamento del database con le definizioni dei virus.
Se non riuscite a inviare allegati con i sample, potete comprimerli in un unico file ZIP e caricarli in modo sicuro cliccando su questo link, indicandoci eventualmente in una mail il nome che avete dato al file caricato. In alternativa, potete utilizzare un servizio di invio file come WeTransfer che vi permetterà d’inviare direttamente a [email protected] qualunque file o cartella anche compressa senza limiti di spazio e problemi di blocco da parte di antivirus, firewall o antispyware.
I dati e i sample verranno utilizzati soltanto per finalità di ricerca. I risultati dei test verranno aggregati e pubblicati, ovviamente in forma anonima, su questo sito con il fine di aiutare eventuali altre vittime nella gestione dell’infezione e raccogliere dati utili per la prevenzione da fornire ai produttori di firewall e antivirus.
Se non volete inviare una mail con i campioni del ransomware, potete anche semplicemente lasciare un commento (pubblico) a questo post con la vostra segnalazione.
Elenco degli argomenti
Informativa sul trattamento delle segnalazioni
Ai sensi del D.Lgs. n. 196 del 30 giugno 2003 (“Codice in materia di protezione dei dati personali”), il trattamento delle informazioni personali che La riguardano sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.
In base all’art. 13 del D.lgs. n.196/2003 ed in relazione ai dati personali dei quali entreremo in possesso, La informiamo di quanto segue:
Finalità del trattamento
1.1 I dati personali da Lei forniti (indirizzo e-mail ed eventuali ulteriori informazioni fornite volontariamente) verranno trattati dai gestori del Ransomware Blog per lo svolgimento di operazioni connesse e strumentali all’attività del sito web Ransomware Blog. In particolare tali dati verranno utilizzati in caso di segnalazione di tentativi di infezione da malware al momento del ricevimento al fine di estrarre e catalogare il contenuto dell’e-mail, o in caso di segnalazione di illeciti e truffe per dar riscontro alla richiesta di informazioni e/o aiuto da parte dell’utente.
Modalità del trattamento
Il trattamento avverrà mediante l’utilizzo di strumenti e procedure idonee a garantirne la sicurezza e riservatezza e potrà essere effettuato sia mediante supporti cartacei, sia con l’utilizzo di mezzi informatici.
Natura del conferimento dei dati personali
Il conferimento dei dati è facoltativo per le finalità di cui al punto 1.1. In nessun caso l’eventuale rifiuto di fornire tali dati comporterà la possibilità di inviare segnalazioni in merito al perpetrarsi di tentativi di diffusione di ransomware al Ransomware Blog.
Ambito di comunicazione e diffusione
I dati personali da Lei forniti per lo svolgimento della finalità di cui al punto 1.1 della seguente informativa, non saranno oggetto di comunicazione, fatte salve specifiche richiesta da parte dell’autorità giudiziaria nell’ambito dell’accertamento e repressione di reati o in caso di controversia legale per far valere o difendere un diritto in sede giudiziaria. I dati personali forniti potranno essere portati a conoscenza dei nostri collaboratori appositamente incaricati e nell’ambito delle relative mansioni. I dati da Lei forniti non saranno comunque oggetto di diffusione.
Diritti dell’interessato
L’art.7 del D.Lgs.196/2003 conferisce agli interessati l’esercizio di specifici diritti. Più precisamente l’interessato può ottenere dal Titolare la conferma dell’esistenza o meno di propri dati personali e la loro comunicazione in forma intelligibile. L’interessato può altresì chiedere di conoscere l’origine dei dati nonché le finalità del trattamento; di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge nonché l’aggiornamento, la rettifica o, se vi è interesse, l’integrazione dei dati; di opporsi in tutto o in parte, per motivi legittimi, al trattamento stesso.
Lascia un commento