Malware: CryptoStopper

Protezioni attive (Windows XP/10)

Windows Scripting Host^G

WinVerifyTrust Signature Validation^G 32

WinVerifyTrust Signature Validation^G 64

I CryptoVirus sono programmi maligni che prendono possesso del nostro computer e ne codificano il contenuto con una password, rendend inaccessibili tutti i dati presenti. Viene quindi chiesto un riscatto (variabile in ragione della quantità ed importanza dei dati presenti nei computer: si va dalle poche decine di Euro a qualche milione) per potere utilizzarli. Il codice maligno Spesso arriva nei nostri computer nascondendosi come un plausibile allegato nella posta elettronica (ad esempio una fattura in formato pdf o zip, un foglio Excel, ecc.).

Ma perché gli antivirus non se ne accorgono e non li segnalano?

All’interno dell’allegato si cela un programma (è possibile inserire all’interno dei formati di files più diffusi dei piccoli programmi, in forma di macro) non pericoloso e non intercettabile da un antivirus se non in condizioni molto particolari: gli antivirus confrontano stringhe, ed il codice di questi virus è continuamente modificato proprio per nascondersi meglio.

Questa macro, una volta aperto in buona fede il documento maligno, provvede a scaricare il virus vero e peoprio nel computer che sta infettando.

L’euristica serve a poco, perché andare su internet e scaricare qualcosa è una operazione che il 99,99% dei programmi effettua ogni giorno legalmente.

Quindi, arriva un allegato in una e-mail che si apre per vederne il contenuto. Il codice maligno si attiva (è una macro, probabilmente scritta con JS (JavaScript)^W o VBS (Visual Basic Script)^W) e scarica il virus vero e proprio, che prenderà possesso dei dati presenti nel computer, li cripterà rendendoli illeggibili con una robusta password e vi chiederà del denaro per poter nuovamente utilizzare i vostri dati.

Non esistono modi concreti (significa: immediati e sicuri) per rendere leggibili ed utilizzabili i dati criptati dal virus. In alcuni casi dopo un certo tempo la chiave di decifrazione è stata rilasciata, ma sul breve periodo non c’è nulla da fare: senza una copia di sicurezza aggiornata non c’è nulla da fare.

L’unica certezza è (come sempre) un backup^W aggiornato: con una copia di sicurezza dei dati aggiornata il problema del virus diventa di scarso impatto, altrimenti non resta che sottostare alle richieste.

Tutti, ma proprio tutti, non danno abbastanza importanza alle copie di sicurezza^W. Un computer è un pezzo di ferro che fa delle cose. Il suo valore non sono i pezzi che lo compongono ma il contenuto dei dischi, cioè il tempo che usiamo per produrre i files^W negli hard disk^W; questo valore consiste nei documenti stessi. Proviamo a dare un valore a cinque anni di lavoro, e consideriamo che, in tutta buona fede, un disco può anche rompersi da solo.

Giacché ci troviamo vorrei introdurre il concetto del MTBF^W (Medium Time Between Failure^W), che ci da la sicurezza che il nostro hard disk si romperà, così anche i più resistenti comprenderanno che non è una faccenda di “se” ma di “quando”. Tanto lo so che è tutto inutile e che queste parole saranno presto dimenticate.

Il sistema di infezione dei Ransomware sfrutta una falla di Windows®^W risalente al 2004, quando con Windows® 2000^W Microsoft©^W presentò Active Directory®^W: il problema era l’esecuzione incondizionata dei programmi realizzati con linguaggi di scripting di vario genere: script^W JS^W (JavaScript^W) e VBS^W (VB Script^W), principalmente. Da allora nulla è stato fatto e gli script sono sempre eseguibili senza alcun controllo preventivo o richieste di autorizzazioni. Si può disattivarne l’esecuzione attraverso il registro^W, ma la gestione degli script ‘legali’ diventa complessa e può rappresentare un problema per gli utilizzatori. Solo con Windows® 11^W questa falla è stata (parzialmente) chiusa.

Il tool di questo articolo, CryptoStopper, consente di disattivare l’esecuzione incontrollata di script. Per venire incontro agli utilizzatori, consente di riattivarne l’esecuzione temporaneamente per un numero stabilito di minuti; al termine il sistema viene automaticamente rimesso in stato di protezione.

Nell’uso normale del computer gli script si incontrano davvero di rado, ed a parte casi particolari non ci si accorgerà neanche di averne disattivato l’esecuzione. In tutti i casi è meglio un messaggio in più che un disco inutilizzabile.

All’avvio CryptoStopper verifica lo stato del sistema e consente di attivare (se si desidera) la protezione; si tratta della chiave del registro ‘HKCU\Software\Microsoft\Windows Script Host\Settings’ in cui ‘Enabled’ = ‘0’ indica che l’esecuzione degli script è disattivata, mentre il valore ‘1’ ne consente l’esecuzione. Impostata la protezione, CryptoStopper consente di disattivarla temporaneamente per un certo numero di minuti.

: AVVIO: CS avvisa che il sistema non è protetto

: AVVIO: il sistema è protetto

: AVVIO: il sistema non è protetto

: Informazioni sul programma, con una descrizione della problematica

: La protezione è stata temporaneamente sospesa per 5 minuti.

: Menu dei minuti per la sospensione temporanea della protezione

NB: una volta attivata la protezione (cioè modificata la chiave del registro) non è più necessario che il programma sia in funzione.

ATTENZIONE: CryptoStopper non è un programma per la sicurezza (almeno in senso stretto): non funziona in tempo reale, non intercetta nulla, una volta impostato non deve neanche essere caricato: corregge un problema agendo sul registro e fornendo un minimo di interfaccia per la gestione. Non risolve il problema generato dai Ransomware ma, limitatamente alle versioni che utilizzano uno script come loader, può impedire che possano scaricare il virus vero e proprio.

NB: CryptoStopper è gratuito; l’autore garantisce, per la versione ufficiale scaricata da questo sito, la totale assenza di codice malevolo di qualsiasi genere. CryptoStopper modifica una chiave del registro (mette a ‘0’ o ‘1’ il valore ‘Enabled’ della chiave ‘HKCU\Software\Microsoft\Windows Script Host\Settings’) e, se si desidera, si inserisce per l’esecuzione automatica all’avvio di Windows®. Per il resto non richiede installazione, non installa componenti di alcun genere, non scrive sul disco, non usa internet, non memorizza alcun tipo di dato.

CryptoStopper 2025 (16387 download )

RAR

~180k

Non si installa, basta eseguirlo.

I sorgenti sono disponibili e saranno forniti gratuitamente a chi ne farà richiesta garantendo riservatezza ed identità.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 anno	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazionali".
CookieLawInfoConsent	1 anno	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_20397258_1	1 minuto	Impostato da Google per distinguere gli utenti.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Internet e le maiuscole

PLUGIN WP: LINK TO WIKI

Internet e le maiuscole

PLUGIN WP: LINK TO WIKI

Protezioni attive (Windows XP/10)

Ma perché gli antivirus non se ne accorgono e non li segnalano?

Questa macro, una volta aperto in buona fede il documento maligno, provvede a scaricare il virus vero e peoprio nel computer che sta infettando.

L’euristica serve a poco, perché andare su internet e scaricare qualcosa è una operazione che il 99,99% dei programmi effettua ogni giorno legalmente.

L’unica certezza è (come sempre) un backupW aggiornato: con una copia di sicurezza dei dati aggiornata il problema del virus diventa di scarso impatto, altrimenti non resta che sottostare alle richieste.

NB: una volta attivata la protezione (cioè modificata la chiave del registro) non è più necessario che il programma sia in funzione.

CryptoStopper 2025 (16387 download )

RAR

~180k

Non si installa, basta eseguirlo.

I sorgenti sono disponibili e saranno forniti gratuitamente a chi ne farà richiesta garantendo riservatezza ed identità.

CONSENSO AI COOKIES

L’unica certezza è (come sempre) un backup^W aggiornato: con una copia di sicurezza dei dati aggiornata il problema del virus diventa di scarso impatto, altrimenti non resta che sottostare alle richieste.