CryptoLocker: storia di un sequestro

Negli ultimi giorni si sono verificati numerosi  casi di infezione dei PC aziendali da parte di un virus noto come CryptoLocker. Diversi professionisti, aziende ed utenti privati sono stati vittima del “virus del riscatto”, causando In tutti i casi ingenti perdite economiche. L’impossibilità di lavorare per diversi giorni, la perdita parziale o totale dei documenti e la corruzione degli archivi dei software gestionali rappresenta il minor danno che questo virus può causare. Scopriamo di più:

La minaccia

I Ransomware sono una tipologia di malware che modificano i file sul proprio computer utilizzando la crittografia, rendendo di fatto i file inutilizzabili e richiedendo un riscatto per riaverne accesso. Il termine “ransom”, tradotto letteralmente dall’inglese significa proprio “riscatto”. Questa famiglia di malware è diffusa da diversi anni in diverse mutazioni, cambiando il metodo di infezione, la tipologia di tecnica crittografica utilizzata e la modalità per la richiesta del riscatto.

Come avviene l’infezione

L’infezione avviene solitamente tramite un allegato di una e-mail inviata da ignoti che comunica la presenza di un ordine o una fattura (da parte di Telecom, Equitalia, Fedex o altri sedicenti mittenti). Tale file, una volta scaricato ed aperto, manda in esecuzione il virus, che effettua una scansione dei documenti del sistema (file di Word, Excel, PDF, immagini) e li cripta con una chiave a 4096 bit, cambiandone l’estensione e rendendoli inutilizzabili. Oltre alle cartelle Documenti, Desktop e Download dei sistemi Windows, vengono individuati e criptati i file presenti nelle unità di rete condivise (cartelle di rete connesse e presenti in Risorse del Computer, con lettere tipo Z:\). Al contempo scrive diversi file .TXT con le istruzioni per pagare il riscatto e riavere indietro i propri documenti. Il titolo del file con le istruzioni contiene qualcosa del tipo “HOW TO RECOVER YOUR FILE” oppure “HOW TO GET YOUR FILE BACK”.

L’infezione avviene più facilmente nei sistemi operativi Windows XP, Windows Server 2003 ma vi sono casi anche nei sistemi operativi più recenti come Windows 7. La presenza dell’antivirus (soprattutto se gratuito) è inutile, in quanto il virus riesce ad eludere le protezioni.

Le istruzioni per pagare il riscatto solitamente richiedono di collegarsi ad un sito web situato nel deep web (il web oscuro), attivo soltanto per un breve periodo di tempo dopo l’infezione e raggiungibile tramite la rete TOR, una rete che permette di anonimizzare gli utenti ed i siti web.

Il riscatto si aggira sui 500 dollari per i primi 5-7 giorni, raddoppia fino a 10-15 giorni dopo l’infezione e viene dichiarato che non sarà possibile recuperare i file oltre il tempo massimo.

Il pagamento del riscatto avviene tramite la moneta virtuale BitCoin, acquistabile presso diverse agenzie online mediante il pagamento con carta di credito ed inviabile al destinatario indicando un codice alfanumerico. A pagamento avvenuto, viene rilasciato un codice di transazione (Transaction ID) che va comunicato al creditore a conferma dell’operazione.

Cosa fare e cosa non fare

Qualora si avesse il dubbio di essere stati infettati è necessario disconnettere immediatamente il PC dalla rete e riavviarlo. Solitamente il virus non si riattiva e quindi non prosegue nelle sue operazioni.

Non collegate al PC infetto Hard Disk o pendrive USB perchè potrebbero essere infettate.

Sicuramente pagare il riscatto non è legale e non è neanche eticamente corretto, ma se si vuole avere una qualche possibilità di recuperare i file in futuro (quando verrà sviluppato un software di decriptazione adatto a combattere questo virus) è necessario che il PC con il virus non venga formattato in quanto la chiave pubblica di crittografia o degli altri riferimenti del virus sono contenuti nel PC infetto. DrWeb, una agenzia di sicurezza informatica russa, sta lavorando sui metodi per combattere alcune versioni di CryptoLocker e potrebbe in un futuro prossimo riuscire a trovare una soluzione al problema (http://antifraud.drweb.com/encryption_trojs/?lng=it). Attualmente l’agenzia dichiara che il recupero è possibile nel 10% dei casi. Sempre DrWeb mette a disposizione una pagina per inoltrare una richiesta di analisi dei file crittografati al seguente indirizzo https://support.drweb.com/new/free_unlocker/for_decode/?lng=en

Come prevenire

Non esistendo una “cura” efficace, l’unico modo è quello di prevenire. Scopriamo come:

  • Aziende come Telecom, Fedex o altre aziende di grosse dimensioni non spediscono mai i documenti in allegato ma riportano ad un sito dal quale scaricarle. Diffidate quindi dagli allegati se non provengono da un mittente conosciuto e non si aspetta tale documento;
  • Aggiornate i sistemi operativi non più supportati come Windows XP o Windows Server 2003 (o quelli più datati!) ed utilizzate antivirus a pagamento, visto che quelli gratuiti non riescono a proteggere da queste minacce;
  • Impostate una buona politica di backup su supporti remoti o disconnessi. Potete utilizzare un NAS (un disco di rete) ed effettuare i backup utilizzando un software apposito oppure potete effettuare i backup su diversi dischi USB che vanno mantenuti disconnessi dal PC. Questa al momento risulta l’unica cura efficace per ripristinare in breve tempo i danni causati dal virus.

Conclusioni

Al giorno d’oggi su un PC manteniamo documenti importanti, dati aziendali e dati personali. Il PC diventa quindi uno strumento indispensabile e prezioso più degli anni passati, ma la cognizione di sicurezza informatica e delle politiche di backup è nella maggior parte dei casi superficiale o del tutto carente. E’ quindi fondamentale cambiare le abitudini e le accortezze nell’utilizzo dei nostri dispositivi informatici. Utilizzare software aggiornati, avere maggiore consapevolezza dei siti che visitiamo, delle e-mail che riceviamo e dei possibili danni che possiamo subire è soltanto il primo passo verso un migliore utilizzo della tecnologia. Ricordo infine che i soldi ed il tempo spesi per effettuare i backup non saranno mai pari a quelli persi insieme ad un documento, una foto personale o gli archivi di un programma gestionale! Il consiglio per tutti, ma soprattutto per le aziende, è quello di affidarsi ai professionisti per ricevere una consulenza adatta alle proprie esigenze che possa evitare o in qualche modo limitare i possibili danni causati dai virus.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload CAPTCHA.