ATTENZIONE: nuovo attacco su vasta scala del virus CryptoLocker
Pubblicato da Studio Nassisi® | Servizi Informatici in Alert · Venerdì 10 Lug 2015 · 7:00
CryptoLocker è un temutissimo virus appartenente alla categoria dei “ransomware” in circolazione dal settembre 2013 e che, periodicamente, torna “alla ribalta” con varianti sempre più efficaci e difficili da contrastare e che di fatto, da anni, gli stanno consentendo di diffondersi a macchia d’olio.
È di queste ore la notizia dell’ennesima ondata di attacchi ai danni di privati cittadini e aziende sia pubbliche che private.
Quando il virus CryptoLocker infetta il nostro computer, inizia istantaneamente a crittografare tutti i dati contenuti sul PC, rendendoli di fatto inutilizzabili. Una volta che la procedura di criptazione viene completata (in maniera invisibile per l’utente) il virus visualizza un messaggio sul computer della vittima con il quale informa dell'avvenuta criptazione di tutti i dati del PC.
Le chiavi di cifratura utilizzate poggiano su algoritmi RSA e AES, praticamente impossibili da decriptare senza conoscere la chiave di cifratura utilizzata. A questo punto il virus chiede il pagamento di un riscatto in BitCoin (solitamente non inferiore ai 300,00 euro) per restituire alla vittima i suoi preziosi dati.
I sistemi di pagamento imposti dagli autori del virus, come i BitCoin (1 BitCoin è oggi circa pari a 220,00 euro) o MoneyPack, non sono rintracciabili, per cui qualsiasi tentativo di individuare gli autori di CryptoLocker per questa via risulterà vano. Dopo il pagamento del riscatto (se si è fortunati!) inizia il processo di decriptazione dei file, che in genere richiede alcune ore.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus. Anzi, c'è il rischio di peggiorare ulteriormente la situazione, in quanto gli antivirus se riconoscono la minaccia, la eliminano cancellando, insieme al virus, anche la chiave di cifratura incorporata e, a quel punto, non c'è più nulla da fare.
Il canale di diffusione primario di questo virus è la posta elettronica. Si riceve una email, apparentemente innocua, riguardante una bolletta, una spedizione (spesso a nome del corriere SDA), una fattura o i dettagli di un ordine online fatto di recente, con un allegato che solo apparentemente è un PDF. In realtà si tratta di un file eseguibile, contenente il virus, la cui vera estensione è del tipo nome_file.pdf.exe.
L’inganno è molto ben congeniato poichè sfrutta un'impostazione predefinita del sistema operativo Windows che, di default, nasconde le estensioni dei file conosciuti (compresa la .exe) e, quindi, l'allegato del tipo nome_file.pdf.exe viene visualizzato come nome_file.pdf lasciando credere all’ignaro utente che si tratti di un comune file PDF.
In queste ore diverse infezioni sono state portate a termine attraverso una email fasulla, molto ben confezionata, a nome del “Servizio Elettrico” che sta traendo in inganno gli utenti meno attenti. Una volta scaricato l’allegato (apparentemente una bolletta) sul proprio PC, il virus lo infetta e, istantaneamente, inizia la procedura di criptazione dei dati.
Da quanto è stato possibile osservare finora, solo le cartelle e i file di sistema non vengono toccati. In questo modo l’utente, non riscontrando (almeno nell’immediato) alcun malfunzionamento sul proprio sistema, non si accorge dell’infezione in atto.
Cosa è possibile fare appena ci accorgiamo di essere stati infettati?
Purtroppo ci si accorge dell’infezione solo quando viene visualizzato sul PC il messaggio contenente la richiesta di riscatto… a quel punto il danno è fatto! È possibile, tuttavia, cercare di limitare i danni staccando immediatamente il computer infetto dalla rete e scollegando qualsiasi memoria esterna collegata al PC.
Il virus, infatti, dopo aver criptato tutti i dati presenti sul disco fisso del computer attacca anche le unità esterne e tutti gli altri PC, eventualmente, connessi in rete. È importante, non effettuare scansioni con software antivirus in quanto, come già detto, questi programmi eliminerebbero si il CryptoLocker ma anche le chiavi di cifratura contenute in esso e, comunque, lascerebbero tutti i file criptati.
Allo stato attuale, purtroppo, non c’è modo di rientrare in possesso dei propri dati se non cedendo al ricatto e pagare quanto richiesto dai criminali informatici. Tuttavia, occorre sottolineare che vi è alcuna garanzia di veder decriptati i propri dati anche dopo aver eseguito il pagamento. La stessa Polizia Postale raccomanda (giustamente, a mio avviso) di non cedere al ricatto, poiché si tratta chiaramente di attività illegali che occorre contrastare con ogni mezzo.
Su internet è possibile trovare alcune soluzione per il recupero delle chiavi di cifratura utilizzate dal virus, ma va sottolineato come tali soluzioni, oltre ad essere fornite spesso senza alcuna garanzia, si sono rivelate efficaci sono in alcuni casi e solo con le primissime varianti del virus che, presumibilmente, oggi non sono più in circolazione, sostituite da altre ancora più aggressive ed efficaci.
CryptoLocker: come possiamo difenderci?
Come ho più volte sottolineato in tanti articoli all’interno di questa sezione del mio sito, ancora una volta (e più che mai nel caso di CryptoLocker), l’unica vera difesa è la prevenzione!
È essenziale, a mio avviso,
- scegliere un software antivirus efficace, da mantenere costantemente aggiornato;
- effettuare frequenti copie di backup dei propri dati importanti, possibilmente su supporti esterni da non lasciare sempre collegati al computer;
- prestare sempre la massima attenzione ai messaggi di posta elettronica che si ricevono, soprattutto se contenenti link o allegati di qualsiasi tipo;
- salvare, quando possibile, i dati su una partizione diversa da quella di sistema poichè tutti i virus attaccano prima la partizione (C) contenente il sitema operativo e solo successivamente le altre.
I criminali informatici diventano sempre più accorti, per cui oggi riescono a confezionare email fasulle in modo talmente accurato da riuscire ad ingannare anche un “occhio” un po’ più esperto. Fino a poco tempo fa, uno dei principali campanelli di allarme che poteva aiutare a distinguere una email fasulla da una legittima era l’uso di un italiano stentato e spesso con molti errori: oggi non è più così!
Praticamente, le email fasulle sono ora scritte in italiano perfetto, con tanto di logo e richiami a società e fornitori realmente esistenti, per cui bisogna prestare sempre la massima attenzione per non cadere nella trappola.
Un ulteriore consiglio che posso darvi è quello di disabilitare la funzione di Windows (attiva di default) che nasconde le estensioni per i tipi di file conosciuti, in modo da potervi rendere subito conto se il file che state scaricando sul PC è effettivamente un PDF o un eseguibile (contraddistinto cioè dall’estensione .exe). Qualora doveste imbattervi in un allegato con doppia estensione (del tipo nome_file.pdf.exe) dovete immediatamente eliminarlo dal PC senza aprirlo.
In Windows, per disabilitare la funzione su indicata è sufficiente:
- cliccare sul pulsante “Start”;
- Accedere al Pannello di Controllo;
- Fare click sulla voce “Opzioni cartella”
- nella finestra che compare spostarsi sulla scheda "Visualizzazione"
- Scorrere le voci presenti nella sezione “Impostazioni avanzate” fino ad individuare la dicitura “Nascondi le estensioni per i tipi di file conosciuti”;
- Togliere la relativa spunta dalla casella di controllo a sinistra della dicitura;
- Cliccare sul pulsante “Applica” e quindi su “OK”;
- Chiudere il Pannello di Controllo.
Attivando la visualizzazione delle estensioni per i file conosciuti, noterete che tutti i nomi dei file memorizzati sul PC saranno ora seguiti dalla loro estensione (esempio: .doc, .pdf, .jpg, ecc). Attenzione a non cancellare o modificare queste estensioni quando effettuate operazioni su questi file (esempio: salva, rinomina, ecc) altrimenti non riuscirete ad aprirli.
Per nascondere nuovamente le estensioni e tornare alla situazione preesistente è sufficiente rifare la procedura descritta sopra e ripristinare la spunta nella casella di controllo affianco alla voce “Nascondi le estensioni per i tipi di file conosciuti”.
Se hai apprezzato questo articolo o ritieni che possa essere di interesse anche per i tuoi contatti condividilo sui tuoi canali social preferiti. A te non costa nulla e darai la possibilità anche ad altri di conoscere il mio lavoro. Grazie!