Nov
12

CryptoLocker - Il virus che prende in ostaggio il vostro PC

Il virus che chiede il riscatto

Dallo scorso settembre 2013 si sta a diffondendo a macchia d'olio CryptoLocker, un virus per Windows (gli utenti Mac e Linux ne sono immuni) che crittografa i documenti dell'utente memorizzati sul personal computer e li rende illeggibili. Questo virus appartiene alla categoria dei ransomware: una particolare categoria di malware che prende letteralmente “in ostaggio” il sistema chiedendo poi il versamento di un riscatto (ransom, in inglese) per lo sblocco. Per ottenere la passphrase che consente di decodificare i files viene richiesto il versamento di una certa quantità di denaro (tra 100 e 300 dollari) tramite sistemi come BitCoin che rendono ardua la rintracciabilità del pagamento.

Se l'utente, entro 72-96 ore, non effettua il versamento della quota richiesta come riscatto, l’encryption key utilizzata per cifrare i suoi dati viene definitivamente cancellata dai server dei cybercriminali autori di CryptoLocker rendendo così i dati irrecuperabili.

E’ inutile per ora provare a fermare il virus o a decriptare i files usando programmi di terze parti, così facendo, anzi, si peggiorano le cose perché CryptoLocker se ne accorge e distrugge la chiave di crittografia: a quel punto non c'è più nulla da fare.

Attenzione alle email

CryptoLocker solitamente si installa a seguito dell’apertura di messaggi allegati alle e-mail che si ricevono sui propri account di posta. In genere si tratta di e-mail all’apparenza innocue (anche se spesso sgrammaticate o in inglese) che cercano di persuadere l'utente ad aprire i files allegati (ad.es ordini, fatture, spedizioni dei principali corrieri quali UPS, DHL...). Queste email contengono un allegato con un nome verosimile, come order45700.zip.exe o fattura.pdf.exe e poiché Windows di default nasconde l’estensione dei files, a un utente dall’occhio non esperto può capitare di credere che davvero l’allegato sia uno ZIP o un PDF.

Una volta aperto l’allegato, CryptoLocker andrà in esecuzione e i tutti files (xls,doc,pdf,etc) presenti sul vostro hard disk verranno istantaneamente crittografati (in caso di contagio, questo programma può mostrare l'elenco dei files criptati dal virus).

                                                    

Non c’è modo, almeno per il momento, di decodificare i file crittografati da CryptoLocker. Il malware, infatti, utilizza una chiave RSA a 2048 bit che rende praticamente impossibile effettuare un attacco brute force. L'unica maniera per tentare di ripristinare i propri dati, oltre a ricorrere ai backup, consiste nel ricorrere alla funzionalità “Versioni precedenti” di Windows. Se la funzionalità “Versioni precedenti” (Shadow copies) è attivata, si potrà tentare di recuperare le copie di files e cartelle. Anche con questo tentativo, comunque, non c’è la garanzia di riuscire a recuperare una precedente versione dei files presi in ostaggio da CryptoLocker.

Pagare il riscatto per riavere i propri dati

Se non si riescono a recuperare copie dei files, purtroppo, l'unica cosa che rimane da fare per riavere i propri dati è pagare il riscatto velocemente: più si ritarda il pagamento e più costerà chiaro avere la chiave.

Purtroppo i sistemi di pagamento utilizzati hanno transazioni sicure ma non rintracciabili, quindi tutti i tentativi di individuare gli autori di CryptoLocker sono vani.

Prevenire è meglio che curare

Un rimedio di sicuro effetto rimane la prevenzione.  È quindi indispensabile porre la massima attenzione alla natura dei messaggi che si ricevono e soprattutto dei files allegati che si decide di aprire.

Attualmente comunque i principali antivirus riconoscono e bloccano CryptoLocker e c'è anche uno strumento gratuito (CryptoPrevent) che imposta alcune restrizioni su Windows in modo da renderlo meno vulnerabile a questo specifico attacco.

In sostanza: non bisogna abbassare la guardia.

Per saperne di più

Per ulteriori approfondimenti, vi consigliamo la lettura dei seguenti articoli: 

Virus - CryptoLocker - RansomWare - Perdita Dati 

Treviso Padova Vicenza Castelfranco Montebelluna Bassano Crocetta Valdobbiadene