Vai ai contenuti
ATTENZIONE: nuovo attacco su vasta scala del virus CryptoLocker
Studio Nassisi | Servizi Informatici cell. 347.4795351
Pubblicato da Studio Nassisi® | Servizi Informatici in Alert · Venerdì 10 Lug 2015
CryptoLocker è un temutissimo virus appartenente alla categoria dei “ransomware”  in circolazione dal settembre 2013 e che, periodicamente, torna “alla  ribalta” con varianti sempre più efficaci e difficili da contrastare e  che di fatto, da anni, gli stanno consentendo di diffondersi a macchia  d’olio.
È di queste ore la notizia dell’ennesima ondata di attacchi ai danni di privati cittadini e aziende sia pubbliche che private.
Quando il virus CryptoLocker  infetta il nostro computer, inizia istantaneamente a crittografare  tutti i dati contenuti sul PC, rendendoli di fatto inutilizzabili. Una  volta che la procedura di criptazione viene completata (in maniera  invisibile per l’utente) il virus visualizza un messaggio sul computer  della vittima con il quale informa dell'avvenuta criptazione di tutti i  dati del PC.
Le chiavi di cifratura utilizzate poggiano su algoritmi RSA  e AES, praticamente impossibili da decriptare senza conoscere la chiave  di cifratura utilizzata. A questo punto il virus chiede il pagamento di un riscatto in BitCoin  (solitamente non inferiore ai 300,00 euro) per restituire alla vittima i  suoi preziosi dati.
I sistemi di pagamento imposti dagli autori del  virus, come i BitCoin (1 BitCoin è oggi circa pari a 220,00 euro) o  MoneyPack, non sono rintracciabili, per cui qualsiasi tentativo di  individuare gli autori di CryptoLocker per questa via risulterà vano. Dopo il pagamento  del riscatto (se si è fortunati!) inizia il processo di decriptazione  dei file, che in genere richiede alcune ore.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file  usando programmi free o antivirus. Anzi, c'è il rischio di peggiorare  ulteriormente la situazione, in quanto gli antivirus se riconoscono la  minaccia, la eliminano cancellando, insieme al virus, anche la chiave di  cifratura incorporata e, a quel punto, non c'è più nulla da fare.
Il canale di diffusione primario di questo virus è la posta elettronica.  Si riceve una email, apparentemente innocua, riguardante una bolletta,  una spedizione (spesso a nome del corriere SDA), una fattura o i  dettagli di un ordine online fatto di recente, con un allegato che solo apparentemente è un PDF. In realtà si tratta di un file eseguibile, contenente il virus, la cui vera estensione è del tipo nome_file.pdf.exe.
L’inganno  è molto ben congeniato poichè sfrutta un'impostazione predefinita del  sistema operativo Windows che, di default, nasconde le estensioni dei  file conosciuti (compresa la .exe) e, quindi, l'allegato del tipo nome_file.pdf.exe viene visualizzato come nome_file.pdf lasciando credere all’ignaro utente che si tratti di un comune file PDF.
In queste ore diverse infezioni sono state portate a termine attraverso una email fasulla, molto ben confezionata,  a nome del “Servizio Elettrico” che sta traendo in inganno gli utenti  meno attenti. Una volta scaricato l’allegato (apparentemente una  bolletta) sul proprio PC, il virus lo infetta e, istantaneamente, inizia  la procedura di criptazione dei dati.
Da quanto è stato possibile osservare finora, solo le cartelle e  i file di sistema non vengono toccati. In questo modo l’utente, non  riscontrando (almeno nell’immediato) alcun malfunzionamento sul proprio  sistema, non si accorge dell’infezione in atto.
Cosa è possibile fare appena ci accorgiamo di essere stati infettati?
Purtroppo  ci si accorge dell’infezione solo quando viene visualizzato sul PC il  messaggio contenente la richiesta di riscatto… a quel punto il danno è  fatto! È possibile, tuttavia, cercare di limitare i danni staccando immediatamente il  computer infetto dalla rete e scollegando qualsiasi memoria esterna  collegata al PC.
Il virus, infatti, dopo aver criptato tutti i dati  presenti sul disco fisso del computer attacca anche le unità esterne e  tutti gli altri PC, eventualmente, connessi in rete. È importante, non effettuare scansioni con software antivirus in quanto, come già detto, questi programmi eliminerebbero si il CryptoLocker ma anche le chiavi di cifratura contenute in esso e, comunque, lascerebbero tutti i file criptati.
Allo  stato attuale, purtroppo, non c’è modo di rientrare in possesso dei  propri dati se non cedendo al ricatto e pagare quanto richiesto dai  criminali informatici. Tuttavia, occorre sottolineare che vi è alcuna garanzia di veder decriptati i propri dati anche dopo aver eseguito il pagamento. La stessa Polizia Postale  raccomanda (giustamente, a mio avviso) di non cedere al ricatto, poiché  si tratta chiaramente di attività illegali che occorre contrastare con  ogni mezzo.
Su  internet è possibile trovare alcune soluzione per il recupero delle  chiavi di cifratura utilizzate dal virus, ma va sottolineato come tali  soluzioni, oltre ad essere fornite spesso senza alcuna garanzia, si sono  rivelate efficaci sono in alcuni casi e solo con le primissime varianti  del virus che, presumibilmente, oggi non sono più in circolazione,  sostituite da altre ancora più aggressive ed efficaci.
CryptoLocker: come possiamo difenderci?
Come  ho più volte sottolineato in tanti articoli all’interno di questa  sezione del mio sito, ancora una volta (e più che mai nel caso di CryptoLocker), l’unica vera difesa è la prevenzione!
È essenziale, a mio avviso,
  • scegliere un software antivirus efficace, da mantenere costantemente aggiornato;
  • effettuare frequenti copie di backup dei propri dati importanti, possibilmente su supporti esterni da non lasciare sempre collegati al computer;
  • prestare sempre la massima attenzione ai messaggi di posta elettronica che si ricevono, soprattutto se contenenti link o allegati di qualsiasi tipo;
  • salvare, quando possibile, i dati su una partizione diversa da quella di sistema poichè tutti i virus attaccano prima la partizione (C) contenente il sitema operativo e solo successivamente le altre.
I  criminali informatici diventano sempre più accorti, per cui oggi  riescono a confezionare email fasulle in modo talmente accurato da  riuscire ad ingannare anche un “occhio” un po’ più esperto. Fino a poco  tempo fa, uno dei principali campanelli di allarme che poteva aiutare a  distinguere una email fasulla da una legittima era l’uso di un italiano stentato e spesso con molti errori: oggi non è più così!
Praticamente,  le email fasulle sono ora scritte in italiano perfetto, con tanto di  logo e richiami a società e fornitori realmente esistenti, per cui  bisogna prestare sempre la massima attenzione per non cadere nella  trappola.
Un ulteriore consiglio che posso darvi è quello di disabilitare la funzione di Windows  (attiva  di default) che nasconde le estensioni per i tipi di file conosciuti,  in modo da potervi rendere subito conto se il file che state scaricando  sul PC è effettivamente un PDF o un eseguibile (contraddistinto cioè  dall’estensione .exe). Qualora doveste  imbattervi in un allegato con doppia estensione (del tipo  nome_file.pdf.exe) dovete immediatamente eliminarlo dal PC senza  aprirlo.
In Windows, per disabilitare la funzione su indicata è sufficiente:
  • cliccare sul pulsante “Start”;
  • Accedere al Pannello di Controllo;
  • Fare click sulla voce “Opzioni cartella”


  • nella finestra che compare spostarsi sulla scheda "Visualizzazione"

  • Scorrere le voci presenti nella  sezione “Impostazioni avanzate” fino ad individuare la dicitura  “Nascondi le estensioni per i tipi di file conosciuti”;
  • Togliere la relativa spunta dalla casella di controllo a sinistra della dicitura;
  • Cliccare sul pulsante “Applica” e quindi su “OK”;
  • Chiudere il Pannello di Controllo.
Attivando la visualizzazione delle  estensioni per i file conosciuti, noterete che tutti i nomi dei file  memorizzati sul PC saranno ora seguiti dalla loro estensione (esempio:  .doc, .pdf, .jpg, ecc). Attenzione a non cancellare o modificare queste  estensioni quando effettuate operazioni su questi file (esempio: salva,  rinomina, ecc) altrimenti non riuscirete ad aprirli.
Per  nascondere nuovamente le estensioni e tornare alla situazione preesistente è sufficiente rifare la procedura  descritta sopra e ripristinare la spunta nella casella di controllo  affianco alla voce “Nascondi le estensioni per i tipi di file  conosciuti”.
Se hai apprezzato questo articolo o ritieni che possa essere di interesse anche per i tuoi contatti condividilo sui tuoi canali social preferiti. A te non costa nulla e darai la possibilità anche ad altri di conoscere il mio lavoro. Grazie!


Studio Nassisi® Srlu - Via Monte Grappa, 49 - 33100 Udine - Cell. 347.4795351
P.IVA 02931680306 - Cap. soc. € 20.000,00 i.v. - REA UD-299252
Copyright (c) 2024 - Vietata la riproduzione anche parziale dei contenuti del presente sito
Studio Nassisi® è un marchio registrato. Tutti gli altri marchi menzionati sono e restano di proprietà dei legittimi titolari
Cookies e Privacy                                                    Puoi contattare lo Studio Nassisi su WhatsApp inviando un messaggio direttamente da questo sito     Studio Nassisi Servizi Informatici è anche su Telegram. Unisciti al canale!     Studio Nassisi Servizi Informatici è anche su Facebook
Studio Nassisi® Srlu - Via Monte Grappa, 49 - 33100 Udine - Cell. 347.4795351
P.IVA 02931680306 - Cap. soc. € 20.000,00 i.v.
REA UD-299252 - Copyright 2024
Studio Nassisi® è un marchio registrato. Vietata ogni riproduzione
Cookies e Privacy                 Puoi contattare lo Studio Nassisi su WhatsApp inviando un messaggio direttamente da questo sito       Studio Nassisi Servizi Informatici è anche su Telegram. Unisciti al canale!       Studio Nassisi Servizi Informatici è anche su Facebook. Segui la nostra pagina!
Studio Nassisi® Srlu - Cell. 347.4795351
Via Monte Grappa, 49 - 33100 Udine
P.IVA 02931680306 - Cap. soc. € 20.000,00 i.v.
REA UD-299252 - Copyright 2024
Studio Nassisi® è un marchio registrato
Cookies e Privacy          Puoi contattare lo Studio Nassisi su WhatsApp inviando un messaggio direttamente da questo sito     Studio Nassisi Servizi Informatici è anche su Telegram. Unisciti al canale!     Studio Nassisi Servizi Informatici è anche su Facebook. Segui la nostra pagina!
Studio Nassisi® Srlu - Via Monte Grappa, 49 - 33100 Udine - Cell. 347.4795351
P.IVA 02931680306 - Cap. soc. € 20.000,00 i.v. - REA UD-299252
Copyright (c) 2024 - Vietata la riproduzione anche parziale dei contenuti del presente sito
Studio Nassisi® è un marchio registrato. Tutti gli altri marchi menzionati sono e restano di proprietà dei legittimi titolari
Cookies e Privacy                      Puoi contattare lo Studio Nassisi su WhatsApp inviando un messaggio direttamente da questo sito     Studio Nassisi Servizi Informatici è anche su Telegram. Unisciti al canale!     Studio Nassisi Servizi Informatici è anche su Facebook. Segui la nostra pagina!
Torna ai contenuti