Mag
07

Ancora su CryptoLocker

Ancora su CryptoLocker

Ci soffermiamo ancora una volta sul ransomware CryptoLocker perché in questi giorni è in corso l’ennesima campagna di mass-mailing che sta diffondendo milioni di mail potenzialmente pericolose.

E’ opportuno prestare la dovuta attenzione a questo fenomeno perché per quanto se ne parli già dal 2013, in realtà solo pochi utenti hanno coscienza del fatto che queste minacce rappresentano un concreto pericolo per i dati custoditi nei computer.

 

Che cosa vuol dire "ransomware" e come funziona CryptoLocker?

Partiamo dall’inizio: I ransomware non sono altro che dei software malevoli che criptano tutti i file come documenti, video, foto ecc. presenti nel computer della vittima e i tutti i sistemi di memorizzazione ad esso collegati.

Questo comporta che i file non sono più accessibili e solitamente, in seguito al blocco dei dati, viene chiesto di pagare un riscatto (ransom in inglese) per decrittare i file in modo da renderli nuovamente leggibili.

Purtroppo, oltre al fatto che pagare il riscatto si può considerare eticamente sconveniente perché alimenta l’industria del cybercrimine, c’è da dire che il pagamento non garantisce il fatto di ottenere poi la chiave per decrittare i files.

CryptoLocker, che ha ormai numerose varianti, si diffonde generalmente come cavallo di troia sotto forma di allegato e-mail, oppure invita l’utente a scaricare il software tramite un link presente nel messaggio e-mail (molte volte sotto falso nome di note aziende o spedizionieri).

Il malcapitato che apre ed esegue il file malevolo attiva automaticamente ed istantaneamente la procedura di cifratura dei dati sul suo computer.

Importante: se il computer è connesso ad una rete aziendale, anche i dati presenti sui server sono concretamente a rischio.

Come difendersi da questa minaccia e proteggere i propri dati ?

1. Effettuare regolarmente i backup

Nel caso in cui il proprio computer venga colpito da questo malware, la soluzione migliore è quella di rimuovere il software, attraverso gli appositi tool o affidandosi ad uno specialista e poi recuperare i dati dai backup. Naturalmente per poter far questo serve avere almeno un backup…

La prima regola per proteggere i propri dati è quindi accertarsi che il backup venga effettuato in maniera regolare. Esistono molte soluzioni software che permettono di pianificare il backup dei dati secondo la cadenza che si ritiene più adatta (giornaliera, settimanale, mensile…).

E’ bene avere chiaro quali dati vengono salvati e con che cadenza, in modo da evitare dubbi in caso di ripristino.

2. Prendersi cura dei propri backup

Un backup effettuato regolarmente ma mai verificato non è un buon backup, va quindi verificato che la procedura di copia dei dati vada a buon fine e che i dati siano poi effettivamente accessibili quando c’è la necessità di ripristinarli. Esistono soluzioni software che producono report dettagliati per ogni operazione di backup.. l’importante è poi che qualcuno legga questi report!

Se si effettua il backup su un disco esterno occorre poi conservarlo al sicuro e soprattutto scollegato dal computer, CryptoLocker è infatti in grado di danneggiare anche i files di backup rendendoli inutilizzabili. Esistono soluzioni software che permettono di effettuare il backup off-site (cioè in un server situato in luogo diverso da quello dove risiedono i dati) in modo da garantire un ulteriore livello di sicurezza.

 

3. Avere un antivirus aggiornato

Esistono in commercio numerose soluzioni antivirus, alcune più note, altre meno note ma per tutte quante vale la stessa regola: avere un antivirus non aggiornato è come non avere l’antivirus.

Ogni giorno vengono infatti create numerose nuove varianti di malware e anche un software antivirus aggiornato pochi giorni fa può rivelarsi del tutto inutile di fronte alle minacce dell’ultima ora.

Molti utenti rimasti vittima del CryptoLocker avevano l’antivirus ma non si sono curati dei messaggi relativi alla necessità di aggiornarne i database.

Bisogna comunque tenere bene presente che il fatto di avere un antivirus in funzione non garantisce al 100% di essere al riparo da ogni genere di malware (i creatori di virus sono infatti molto attivi sul fronte della ricerca di nuovi sistemi per “gabbare” gli antivirus), questo introduce la regola seguente.

4. Diffidare degli allegati e, in generale, prestare attenzione alle e-mail.

La posta elettronica è sempre più utilizzata ed il numero di mail scambiate aumenta in maniera esponenziale. Questo ci può portare ad essere sbrigativi nella consultazione delle e-mail e ci fa scordare che in molti messaggi si può nascondere del contenuto attivo in grado di recare danni anche gravi.

E’ importante innanzitutto diffidare sempre degli allegati sospetti. La configurazione di default del sistema operativo Windows non visualizza le estensioni e questo aiuta nel camuffare i file facendo credere agli utenti che si tratti di documenti legittimi. Un consiglio, sempre valido per proteggersi dalla maggior parte dei cavalli di troia, è quello di attivare la visualizzazione delle estensioni dei file in modo da accertarsi sempre sulla natura degli allegati prima di aprirli (ad esempio un file fattura.pdf si può poi rivelare come fattura.pdf.exe, risultando così potenzialmente pericoloso).

 

Bisogna poi prestare attenzione al contenuto delle e-mail e usare buon senso:

-          Controllare sempre mittente e destinatario del messaggio prima di considerare l’eventuale allegato

-          Diffidare delle e-mail scritte in un italiano sgrammaticato

-          Valutare il contenuto delle e-mail: Perché aprire, ad esempio, un messaggio e-mail di un corriere se non si attende nessuna consegna?

-          Diffidare, in generale, dalle e-mail inviate a nome di servizi postali, banche o istituti di credito.

-          Diffidare dalle e-mail che propongono di scaricare aggiornamenti software

Cosa fare se, nonostante tutto, si incappa in CryptoLocker?

Passiamo all’ipotesi peggiore, supponiamo che il pc sia già stato infettato da Cryptolocker: in tal caso sono problemi seri, purtroppo non esiste modo di decifrare i file senza la chiave di cifratura.

Quello che si può fare è spegnere immediatamente il computer ed evitare di riaccenderlo (questo per evitare che il virus possa tornare in funzione e c provocare ulteriori danni).

Se si è collegati in rete, scollegare immediatamente il PC dalla rete, in modo da ridurre il rischio che i files conservati sui server vadano compromessi. Una volta spento il computer e isolato dalla rete conviene rivolgersi ad un tecnico specializzato per tentare il recupero dei dati.

Esiste un modo per provare a recuperare i files crittografati: si può provare a inviare uno dei file cifrati al sito https://www.decryptcryptolocker.com (sito a cui contribuiscono anche FBI e Europol), che, sulla base di un grande database di chiavi crittografiche, proverà a recuperare la chiave di cifratura. In caso di successo si otterrà una chiave di sblocco, ma purtroppo non c’è la garanzia che funzioni sempre.

 

Virus - CryptoLocker - RansomWare - Perdita Dati 

Treviso Padova Vicenza Castelfranco Montebelluna Bassano Crocetta Valdobbiadene