News

Proteggi i tuoi dati!

Quando il virus entra in funzione, inizia a crittografare i tuoi file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave. Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin. Dopo il pagamento del riscatto inizia il processo di decriptazione dei file.

Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c’è più nulla da fare.

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte. Ti capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica. Questa email contiene un allegato  un link con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft ( attualmente i Mac sono immuni ) di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP. Una volta cliccato, i tuoi file verranno criptati all’istante. Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati. Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce. CryptoLocker Che danni provoca? Crittografa i tuoi file e li rende illeggibili, a meno che tu paghi un “riscatto”. Cosa posso fare se ho preso il virus? Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare.

La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \\nome_server\condivisione). Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati. In questo modo non è possibile recuperare i dati. Per fortuna alcune versioni di CryptoLocker hanno previsto questo e installano uno sfondo di Windows che invita a scaricare un file, il quale permette di decriptare i file anche se l’antivirus ha rimosso il tool originale. Quindi non resta che pagare qualche centinaio di euro entro i tempi stabiliti dal programma stesso, altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale.

I sistemi di pagamento sono BitCoin e (meno frequentemente) MoneyPack che per definizione hanno transazioni sicure ma non rintracciabili, quindi tutti i tentativi di individuare gli autori di CryptoLocker sono vani. Come scopro se l’ho preso? Il virus ti mostra una finestra in cui ti dice che ha criptato i file e vuole un “riscatto” per renderli di nuovo leggibili. Questo programma ti mostra l’elenco dei file criptati dal virus sul tuo PC. Cosa devo fare se l’ho preso? Devi pagare il riscatto velocemente: più ritardi il pagamento, più ti costa riavere i tuoi file.

Se non ho preso il virus, come posso proteggermi? Non aprire allegati sospetti delle email e fai il backup offsite. Ci si può difendere? Ci sono delle azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker. Innanzi tutto fare il backup, anche fuori sede, perché il virus riesce a passare sui dischi di rete solo se sono mappati e non attraverso la rete in generale.

Avere un backup offsite vi permetterebbe di ripristinare i file nel caso non riusciste a decriptare i dati. Inoltre, implementate le policy di ActiveDirectory affinché vengano mandati in esecuzione solo certi eseguibili: in questo modo l’eventuale esecuzione di CryptoLocker verrebbe bloccata.

Esiste un programma per facilitare l’applicazione di queste policy. Effettivamente dopo il pagamento del riscatto i file vengono decriptati, anche se ci vogliono alcune ore.

Aspetti sociali di questo virus

Ci sono alcuni aspetti che secondo me esulano dal piano tecnico e meritano una riflessione di più ampio respiro, perché hanno un impatto sociale non indifferente.

Innanzi tutto noi suggeriamo di non pagare il riscatto, perché siamo all’interno di un’attività illecita.

CryptoLocker si prende scaricando un allegato o cliccando su un link (sospetto) da un’email. Bene, ma il software scaricato, da solo non fa nulla, sono le istruzioni dei in cui viene subdolamente installato il server che poi istruisce CryptoLocker che rendono pericoloso questo software. E i server craccati in genere appartengono a società ignare di tutto ciò.

L’azienda che ha il server craccato è responsabile? Dal 1 novembre i creatori di CryptoLocker hanno aperto un sito dove si può comprare la chiave per decriptare i file e il programmino per eseguire la decriptazione. Premesso che questo sito è raggiungibile solo su una rete parallela, per accedere alla quale occorre scaricare un programma dalla legalità dubbia, è normale che un utente o un’azienda ordini un virus illegale per poter riavere i propri dati ? 

Share This