ATTENZIONE: Come difendersi da CryptoLocker

Qui di seguito troverete le informazioni sulla “pericolosità” di questo ransomware conosciuto come CryptoLocker: un virus che chiede un riscatto per riavere i propri dati.

Andiamo ad analizzare questo virus che sta colpendo milioni di utenti/aziende dove l’Italia risulta la 4° nazione più colpita per sensibilizzare ancora di più tutti voi.

Cos’è CryptoLocker?

CryptoLocker è un virus messo in circolazione a settembre 2013 che si sta diffondendo a macchia d’olio.
Quando il virus entra in funzione, inizia a crittografare (cifrare) i tuoi files che quindi diventano inutilizzabili, con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.
Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro in BitCoin.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c’è più nulla da fare.
La soluzione potrebbe essere quella di sottostare al ricatto e pagare per avere la chiave di decriptazione dei files, ma anche in questo caso si hanno molteplici difficoltà e anche se si dovesse riuscire a portare a termine il pagamento, non è detto che vengano restituiti tutti i files per cui si è pagato.

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
Le capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che lei ha realmente effettuato, e quindi si è portati a credere che la comunicazione sia autentica.

Questa email contiene un allegato con un nome verosimile, come fattura.pdf o order584755.zip, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i suoi files verranno criptati all’istante.

Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

Il processo prende in prima battuta i file locali del PC poi passa alle unità condivise sui server per poi colpire eventuali unità di backup (NAS – Dischi USB etc)

Cosa posso fare se ho preso il virus?

Ci si accorge che si è preso il virus perché CryptoLocker trasforma i file dell’utente e i vari collegamenti ai documenti perdono la classica icona di WORD/EXCEL/PDF.

La prima cosa da fare è scollegare il sistema infetto dal resto della rete ed avvisare immediatamente il nostro staff tecnico.

Ci si può difendere?

Ci sono solo delle azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker.

Innanzi tutto avere un backup (idealmente con il principio del 3-2-1: tre copie – due mezzi diversi – un luogo separato*)
Avere anche un backup offsite*
Controllare sempre chi è il mittente del messaggio
Se l’email proviene da una banca/ corriere/ spedizioniere verificarne la legittimità dello stesso.
Non fare affidamento esclusivamente sulla fiducia in virtù del rapporto.
Doppia verifica del contenuto del messaggio
Ci sono evidenti errori di fatto o discrepanze (traduzioni non corrette) che si possono osservare. Tali messaggi di spam possono anche utilizzare altri esche social engineering per convincere gli utenti ad aprire il messaggio
Evitare, se non si è più che sicuri, di cliccare sui collegamenti nelle e-mail