![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/07\/05233406\/ded-cryptor-screen-ru.jpg\")
<\/p>\nDi recente, un nuovo ransomware trojan chiamato Ded Cryptor ha attaccato persone di lingua inglese e russa. \u00c8 vorace e pretende un enorme riscatto di 2 bitcoin (circa 1.300$). Purtroppo, non \u00e8 disponibile una soluzione di decriptazione per ripristinare i file presi in ostaggio da Ded Cryptor.<\/p>\n
Quando un computer \u00e8 infettato da Ded Cryptor, il malware cambia lo sfondo del sistema con un Babbo Natale dall\u2019aspetto minaccioso. Un\u2019immagine sinistra e una richiesta di riscatto: sembra un ransomware come tanti altri, vero? Ma la sua origine ha una storia molto interessante, tipo un thriller, con i buoni e i cattivi che si scontrano, commettendo errori e affrontando le conseguenze.<\/p>\n
<\/p>\n
Tutto ebbe inizio quando Utku Sen<\/a>, un esperto di sicurezza turco, cre\u00f2 un ransomware e pubblic\u00f2 il codice online<\/a>. Chiunque poteva scaricarlo da GitHub, una risorsa web aperta e gratuita che gli sviluppatori utilizzano per collaborare a progetti (in seguito il codice venne rimosso, vedrete tra poco il perch\u00e9).<\/p>\n Fu un\u2019idea piuttosto rivoluzionaria, rendendo disponibile il codice sorgente gratis ai criminali, che senz\u2019altro l\u2019avrebbero utilizzato per creare i loro propri cryptor (e cos\u00ec \u00e8 stato). Tuttavia, Sen, un hacker white hat<\/em>, era sicuro che ogni esperto di cybersicurezza dovesse sapere come pensano i cybercriminali, e come codificano. Credeva che il suo approccio insolito avrebbe aiutato i buoni a contrastare pi\u00f9 efficacemente i cattivi.<\/p>\n Un progetto precedente, il ransomware Hidden Tear, faceva parte anch\u2019esso dell\u2019esperimento di Sen. Fin dal principio, il lavoro di Sen era destinato a fini educativi e di ricerca. Col tempo, svilupp\u00f2 un nuovo tipo di ransomware che poteva funzionare offline<\/a>. In seguito, \u00e8 emerso EDA2, un modello pi\u00f9 potente.<\/p>\n La criptografia asimmetrica di EDA2 \u00e8 migliore di quella di Hidden Tear. Inoltre poteva comunicare con un server comand and controll<\/em> pienamente articolato, e criptava il codice che trasferiva l\u00ec. In pi\u00f9, mostrava alla vittima un\u2019immagine inquietante.<\/p>\n Anche il codice sorgente di EDA2 \u00e8 stato pubblicato su GitHub, cosa che ha attirato molta attenzione e critiche verso Utku Sen, e non per nulla. Con il codice sorgente disponibile gratuitamente, anche gli aspiranti cybercriminali che non sanno codificare in modo adeguato potrebbero usare il ransomware per rubare denaro. Non l\u2019aveva capito?<\/p>\n S\u00ec che lo aveva capito: Sen aveva inserito dei backdoor nel suo ransomware per recuperare i codici di decriptazione. Ci\u00f2 significa che se avesse saputo che il suo ransomware veniva utilizzato a scopi illeciti, avrebbe potuto ricavare l\u2019URL del server di comando e controllo per estrarre i codici e darli alle vittime. Tuttavia, c\u2019era un problema: per decriptare i loro file, le vittime dovevano aver sentito parlare dell\u2019hacker white hat <\/em>e chiedergli i codici. La stragrande maggioranza delle vittime non sapeva chi fosse Utku Sen.<\/p>\n Ovviamente, gli encryptor terze parti creati con il codice sorgente Hidden Tear e EDA2 non tardarono a venir a galla. Sen tratt\u00f2 il primo pi\u00f9 o meno con successo: pubblic\u00f2 il codice e aspett\u00f2 che le vittime lo trovassero. Ma con il secondo cryptor le cose non andarono cos\u00ec bene.<\/p>\n Magic, il ransomware basato su EDA2 era proprio come l\u2019originale e non prometteva niente di buono. Quando Sen ne venne informato, tent\u00f2 di estrarre il codice di decriptazione come aveva gi\u00e0 fatto (attraverso il backdoor), ma non ci riusc\u00ec. Usando Magic i cybercriminali avevano scelto un hosting gratuito per il loro server di comando e controllo. Quando l\u2019hosting provider ricevette lamentele riguardo l\u2019attivit\u00e0 dannosa, semplicemente elimin\u00f2 l\u2019account dei criminali e tutti i loro file. Qualunque possibilit\u00e0 di ottenere i codici di decriptazione scomparve con i dati.<\/p>\n La storia non finisce qui. I creatori di Magic aiutarono<\/a> Utku Sen, e la loro conversazione si trasform\u00f2 in una lunga discussione pubblica. All\u2019inizio si offersero di pubblicare il codice di decriptazione se Sen avesse acconsentito a rimuovere il codice sorgente EDA2 dal dominio pubblico e pagare loro 3 bitcoin. Col tempo, entrambi le parti concordarono di lasciare il riscatto fuori dall\u2019accordo.<\/p>\n Le negoziazioni si rivelarono parecchio interessanti: i lettori vennero a conoscenza della motivazione politica degli hacker, e che erano stati sul punto di pubblicare il codice quando seppero che un uomo aveva perso tutte le foto di suo figlio neonato a causa di Magic.<\/p>\n Alla fine, Sen rimosse<\/a> il codice sorgente EDA2 e Hidden Tear da GitHub, ma era troppo tardi: in molti l\u2019avevano gi\u00e0 scaricato. Il 2 febbraio 2016 l\u2019esperto di Kaspersky Lab Jornt van der Wiel denunci\u00f2 in un articolo su SecureList<\/a> la presenza in circolazione di 24 encryptor basati su Hidden Tear e EDA2. Da allora il numero \u00e8 solo aumentato.<\/p>\n Ded Cryptor \u00e8 uno di quei discendenti. Utilizza il codice sorgente EDA2, ma il suo server di comando e controllo \u00e8 ospitato su Tor per maggiore sicurezza e anonimato. Il ransomware comunica tramite il servizio tor2web<\/a>, che permette ai programmi di usare Tor senza il relativo browser.<\/p>\n In un certo senso, Ded Cryptor, creato a partire da vari pezzi di codice aperto pubblicato su GitHub, ricorda il mostro di Frankenstein. I creatori presero in prestito il codice da un altro sviluppatore GitHub, per conto del server proxy; e il codice per inviare richieste era inizialmente scritto da un terzo sviluppatore. Un aspetto insolito del ransomware \u00e8 che non invia richieste direttamente al server. Al contrario, apre un server proxy sul PC infetto e utilizza quello.<\/p>\n Per quel che possiamo dire, gli sviluppatori Ded Cryptor sono di lingua russa. Punto primo, la lettera di riscatto esiste solo in inglese e in russo. Punto secondo, Fedor Sinitsyn, analista senior di malware di Kaspersky Lab, ha analizzato il codice del ransomware e ha trovato il percorso file<\/p>\n C:UserssergeyDesktop<b>\u0434\u043e\u0434\u0435\u043b\u0430\u0442\u044c<\/strong><\/b>eda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (A proposito, anche il sopramenzionato ransomware Magic \u00e8 stato sviluppato da madrelingua russi)<\/p>\n Purtroppo, si sa poco su come DedCryptor si diffonda. Secondo Kaspersky Security Network<\/a>, il ransomware basato su EDA2 \u00e8 attivo prevalentemente in Russia. Seguono Cina, Germania, Vietnam e India.<\/p>\n Purtroppo, ancora non \u00e8 disponibile un modo per decriptare i file mutilati da Ded Cryptor. Le vittime possono tentare di recuperare i dati da copie shadow<\/a> che il sistema operativo potrebbe aver creato. Ma la migliore protezione \u00e8 quella proattiva: \u00e8 molto pi\u00f9 facile prevenire l\u2019infezione che affrontare le conseguenze.<\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/11\/05233517\/eda2-screenshot.jpg\")
<\/p>\nHai creato il ransomware, adesso paga il riscatto!<\/strong><\/h3>\n
Com<\/strong>\u2018\u00e8<\/strong> emerso Ded Cryptor<\/strong><\/h3>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/07\/05233405\/tear-geagraphy.jpg\")
<\/p>\n