Arginare CryptoLocker

È possibile ridurre (enfasi su ridurre) la possibilità che un attacco CryptoLocker o similare vada a buon fine.

Allo stato attuale gli attacchi avvengono principalmente eseguendo dei programmi (dropper) mascherati da fatture, rapporti di recapito di un vettore o altri documenti analoghi, la maggior parte delle volte compressi in uno ZIP allegato a sua volta ad un messaggio di posta elettronica.

Il malcapitato riceve il messaggio, apre lo zip, apre il presunto documento (si tratta in realtà di un programma) e ZAC! il malware entra in azione.

Il metodo che viene indicato di seguito agisce limitando la possibilità di eseguire programmi salvati in aree dati in cui di solito non ci sono normalmente i programmi. Questo metodo ha lo svantaggio di non poter più permettere agli utenti l’esecuzione di un programma direttamente dall’interno di un file compresso: l’utente dovrà scompattare il file in una directory diversa da quelle bloccate ed eseguire il programma.

Per fare ciò bisogna attivare delle policy (criteri) in Windows, la cui interfaccia di gestione a mezzo MMC è disponibile solamente, però, nella versione Professional.

FoolishIT ha creato un programma gratuito per impostare le policy di blocco per i Windows serie Home e per chi non vuole giocare con le policy. La prima volta che si segue il link viene attivato il download, le volte successive si verrà ridiretti al sito del produttore. Se si usa la funzione incognito dei browser sarà sempre possibile scaricare direttamente il file.

Gli amministratori di sistema di Windows possono agire sulle policy di dominio per forzare le regole a tutti i computer membri del dominio.

Le policy dovrebbero bloccare l’esecuzione di programmi in %UserProfile%\Local Settings\ (Windows XP) oppure %AppData% (Windows Vista e successivi).

policy ITAPer fare questo avviare il Group Policy Management (gestore dei criteri di gruppo), creare una nuova policy, modificarla e a sinistra seguire questo percorso: Computer Configuration, Policies, Windows Settings, Security Settings, Software Restriction Policies. Se il contenuto di quest’ultimo è vuoto, fare click con il tasto destro e selezionare New Software Restiction Policy. Qui a destra vedete l’quivalente percorso con i nomi in italiano.

Nelle regole aggiungere questi percorsi tutti con Security Level impostato su Disallowed:

  • %AppData%\*.exe
  • %LocalAppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\*\*.exe
  • %LocalAppData%\Temp\Rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe

Se in rete sono presenti ancora dei computer con Windows XP aggiungere anche questi path:

  • %UserProfile%\Local Settings\*.exe
  • %UserProfile%\Local Settings\*\*.exe
  • %UserProfile%\Local Settings\Temp\Rar*\*.exe
  • %UserProfile%\Local Settings\Temp\7z*\*.exe
  • %UserProfile%\Local Settings\Temp\wz*\*.exe
  • %UserProfile%\Local Settings\Temp\*.zip\*.exe

Queste impostazioni contemplano l’utilizzo del gestore di archivi compressi integrato in Windows, WinZIP, WinRAR e 7ZIP; se vengono utilizzati altri programmi per la gestione degli archivi compressi sarà necessario includere anche i path utilizzati da quei programmi per registrare i file temporanei.

Eventuali applicazioni note che vengono eseguite in quei path possono essere aggiunte alle policy con il Security Level impostato su Unrestricted.

Con questa policy attivata, se viene eseguito un programma in una delle directory vietate il computer visualizza un popup nel cui titolo c’è il path del programma interessato e il cui testo avvisa che l’esecuzione di quel programma è stata bloccata:

blocco policy

Contestualmente nel log degli eventi viene registrato un evento con ID 866 contenente i dettagli del programma e della policy che l’ha bloccato.

L’impostazione di queste policy non blocca ogni tipo di attacco simili a CryptoLocker, ma permette di ridurre la probabilità che un attacco abbia successo.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Arginare CryptoLocker”

  1. Dove lavoro io abbiamo disabilitato totalmente la possibilità di ricevere eseguibili per e-mail, zippati o meno, anche quando non vengono riconosciuti come possibili virus.

    Un eseguibile allegato puzza sempre tantissimo! 🙂

    1. L’avevo fatto anche io, poi pero’ mi son ritrovato i clienti a lamentarsi perche’ o il fornitore gli mandava via mail l’aggiornamento/driver o loro dovevano mandare il tal programma o salcielo cosa…

  2. Sono riuscito ad implementarlo anche nell’ufficio dove lavoro. Funziona perfettamente, grazie mille! 😀

  3. MI hanno girato una mail sospetta.
    Il file non era uno ZIP ma un CAB e l’eseguibile all’interno era un .SCR (quindi semplicemente un .EXE rinominato, ma sempre eseguibile).

    Le istruzioni andrebbero aggiornate per inibire anche l’esecuzione degli .SCR

Spazio per un commento