Rimedi contro il Cryptolocker

Capita sempre più spesso che i nostri file vengano presi in ostaggio dai ransomware come il cryptolocker, una sorta di “virus” che cryptano i nostri dati rendendoli inservibili, ricattandoci previo pagamento di una somma in bitcoin per lo sblocco.

 

Da anni nella maggior parte delle caselle mail arrivano messaggi con richieste di contributi per smobilitare somme di denaro, numeri di spedizione da parte di noti trasportatori e cosi via.
In allegato a queste mail si trova quasi sempre un file spacciato per un documento (fattura/conferma spedizione…) che spesse volte si rivela essere un virus o un malware. Si intuisce dall’Italiano “maccheronico” nel corpo della mail che si tratta di una mail fasulla e l’etichetta “spam” viene applicata nel giro di pochi secondi.

Da oltre due anni però, stiamo assistendo a mail scritte in Italiano corretto, con dettagli e riferimenti aziendali del falso mittente oscurato tramite la tecnica dell’Email spoofing, con allegati molto pericolosi nascosti in file compressi. Queste mail sono facilmente confondibili con mail di quotidiana amministrazione.
A questo punto l’ignaro lettore cade nella trappola del ransomware, aprendo l’allegato malevolo e infettando cosi il suo computer, i computer della rete, il server, i nas, i sistemi di backup locali e cloud.

Purtroppo la possibilità di incappare in un’infezione da ransomware non è data dalla sola apertura di un allegato malevolo non riconosciuto dall’antivirus, ma vengono sfruttate anche le falle di Windows e le porte aperte delle reti verso l’esterno.

Una falla che è stata sfruttata dai cyber-criminali è quella del Remote Desktop di Windows.

I Cyber-criminali individuano una macchina con il sistema di desktop remote attivo, avviano un attacco di brute forcing utilizzando le combinazioni più comuni di user e password fino ad ottenere l’accesso alla macchina. Una volta preso possesso della macchina, installano il ransomware.
Ad onor di cronaca, è stata trovata una versione capace di infettare anche MacOs di Cupertino, noto per essere un sistema operativo privo di virus.

Dal gennaio 2015 ad oggi, il virus del riscatto si è fatto conoscere come Cryptolocker, Satan, BTCWare, GlobeImposter 2.0, Locky, Spora, Petya, CTB-Locker, Wannacry, Synccrypt, Crysis e altri, ed ha raggiunto un’efficienza di infezione degna di nota, in quanto niente sfugge al suo cryptaggio.

Con l’aumentare delle versioni e l’intensificato numero di attacchi, sono aumentate anche le richieste di riscatto in termine monetario. Da 500 euro del 2015 ai 5000 euro di oggi, pagabili in bitcoin.

Dobbiamo ammettere che, seppur fatto in maniera scorretta, gli attacchi e le infezioni sempre più frequenti hanno portato l’attenzione a quella che è l’importanza della sicurezza informatica e delle infrastrutture di rete presenti negli uffici.

Vediamo quindi in poche parole di capire cos’è e come agisce un ransomware.

Cos’è il Cryptolocker

Un virus che in pochi secondi crypta i file di un computer, dei supporti connessi ad esso e alla rete.

 Come si riconosce l’infezione da Cryptolocker

I vostri file diventano inaccessibili, le estensioni vengono rinominate con estensioni tipo “encrypt”, tutti i programmi che normalmente utilizzate come ad esempio word o acrobat non leggono più i file.

A fugare ogni dubbio, compare un avviso nel desktop, nel browser e svariati file di testo nelle cartelle colpite dal virus, con la descrizione di come agire per il riscatto dei file.

Come agire una volta colpiti dal Cryptolocker

 Purtroppo la possibilità di recupero di file cryptati è molto bassa.

Per le prime varianti si trovava un tool gratuito nel sito dell’FBI capace di invertire il processo di cryptatura. Questo è stato reso possibile grazie alla cattura dei primi cyber-criminali, padri delle prime versioni del Cryptolocker.
Purtroppo il tool è stato rimosso dal sito, in quanto le varianti che girano ora sono talmente avanzate e con chiavi diverse che l’utilità di tale tool era venuta meno.
Kasperky ha rilasciato un tool capace di invertire la cryptatura di alcune varianti.

Cosa fare 

In una parola, premunirsi. Avere sistemi di backup e possibilmente renderli scollegabili dalla rete, sistemi operativi aggiornati all’ultima release, antivirus e firewall a protezione della vostra rete.
Idealize consiglia ed installa per i suoi clienti sistemi di backup Acronis, capaci di salvare dai singoli file all’immagine di un server, antivirus client/server Trend-MicroEset e Firewall fisici basati su pfSense.