Web Agency certificata PrestaShop RICHEDICI UN PREVENTIVO

Il ritorno di Cryptolocker e i suoi emuli mettono a richio i tuoi dati. Come difendersi?

Il 2015 si è chiuso come l’anno peggiore per la sicurezza informatica e il 2016 si preannuncia anche peggiore. Concorrono due importanti fattori che hanno decretato la situazione attuale, il primo è l’evoluzione dei ransomware, dal classico “virus della polizia postale” allo spietato cryptolocker. Il secondo fattore è sicuramente legato al successo dei Bitcoin una moneta virtuale basata su algoritmo matematico diffusa nel dark web, in virtù dell’estrema difficoltà (potremo dire tranquillamente impossibilità) di tracciarne gli scambi. L’estrema facilità di realizzare un ransomware che vada a crittografare i file di un PC infettato unitamente alla sicurezza di ricevere un pagamento senza essere rintracciati e arrestati, ha fatto esplodere il fenomeno.

 

I ransomware non sono virus, ma semplicissimi malware che rendono inaccessibile il dispositivo o i file in esso contenuti. Non necessitano nemmeno di mascherare la loro presenza all’utente e per la diffusione sfrutta proprio la sua ingenuità. Proprio per questo gli antivirus si trovano in grande difficoltà. 

Cryptolocker, come il più arcaico “virus della polizia postale” si “prende” cliccando su un allegato presente in un email, in genere si tratta di un falso file PDF. Questo tipo di infezione è storico ed esiste dalla notte dei tempi, sfrutta da un lato l’ingenuità degli utentie dall’altro il fatto che Windows nasconde per default le estensioni dei file conosciuti, quindi nominando un file con doppia estensione per esempio: procedura_conferma_bonifico.PDF.exe e impostando come icona del programma l’icona di un classico documento PDF, la maggior parte degli utenti non attenti scambierà il programma per un innocuo documento PDF. E’ vero, Windows visualizzerà una serie di finestre di conferma d’installazione, ma visto che queste sono viste dagli utenti come seccature, gli stessi non ci faranno caso cliccando annoiati e scocciati su “OK” a qualsiasi domanda che il sistema operativo e l’installer del ransomware porrà.

In un certo senso è come se le persone fossero abituate a dare le proprie chiavi di casa a varie persone conosciute e sovrappensiero, le consegnassero al primo sconosciuto che le chiede. Non vi è sistema di sicurezza in grado di proteggere un utente da se stesso.

Come difendersi da Cryptolocker?

Prima di tutto è bene fare attenzione a qualsiasi allegato presente nelle email e file scaricato da Internet, anche quando l’email ricevuta sembra inviata da un vostro contatto. Questo perché l’email potrebbe essere inviata da un PC infetto a insaputa dell’utente o addirittura semplicemente falsa. Mi è capitato di pulire PC di utenti che si erano infettati con una falsa email che sembrava inviata dall’INPS.

Leggere con attenzione l’email è il primo passo, molte sono tradotte barbaramente in italiano con google translator quindi diffidate sempre da: “poste italiene informa che tu avere inviato bonifico 500 euro, premere per operazione anullare qui” sicuramente è un cybercriminale russo o cinese. Purtroppo grazie alle transazioni in BitCoin stanno girando ransomware di cybercriminali italiani, quindi in un italiano impeccabile. Ciò che fermava i criminali nostrani era proprio il fatto che seguendo i soldi le forze dell’ordine prima o poi li avrebbero presi. 

Mettete i vostri dati importanti al sicuro effettuando salvataggi regolari su un unità esterna, ricordando però che cryptolocker e le sue varianti sono in grado di crittografate e quindi rendere inutilizzabili anche i file presenti su unità esterne collegate al PC, quindi finito il salvataggio l’unità va scollegata. Anche i documenti salvati su un cloud quale Dropbox e similari (ad esclusioni delle versioni in abbonamento con storico dei file) non sono al sicuro in caso che si vada a installare per errore una delle varianti di cryptolocker in circolazione. Non presentano problemi, tra i sistemi casalinghi eventuali salvataggi fatti su dvd e Blue Ray essendo questi una volta masterizzati accessibili in sola lettura. A livello aziendale la soluzione migliore è sempre quella di consultare un professionista.

Cosa fare se si viene infettati da Cryptolocker?

Spegnere immediatamente il PC infettato, impedendo a cryptolocker di completare la crittografia di tutti i file presenti sul vostro PC e sulle periferiche esterne e unità di rete condivise. Sarà necessario poi accedere ai dischi del PC infettato da un altro sistema per recuperare i file non ancora crittografati dal ransomware. Operazione che consiglio di far effettuare da un professionista che provvederà anche a ripristinare il PC. 

Non pagate il riscatto, non avete nessuna garanzia di ricevere la chiave per decriptare i file, la stessa potrebbe anche essere andata persa per lo stesso cybercriminale e inviarvela comunque lo espone a un ulteriore rischio, che incassati i soldi nessuno lo obbliga a correre.

Per recuperare i file crittografati da cryptolocker? Le speranze di recuperare i file criptati sono tendenti allo zero poche (a partire dal 2016 le speranze di recupero sono aumentate), soprattutto con le ultime versioni di cryptolocker Purtroppo l’algoritmo utilizzato da Cryptolocker è basato sulla crittografia Aes a 256 bit che è particolarmente robusta e quindi la probabilità di riuscire a decifrare i file senza essere in possesso delle apposite chiavi è abbastanza remota. Per le vecchie versioni gli esperti di sicurezza informatica di Fireeye e Fox-IT sono riusciti a recuperare le chiavi per la decodifica dei dati e le hanno rese disponibili gratuitamente. Esistono vari servizi online basati su DecryptCryptolocker che permettono di usufruire di questo servizio, basta inviare un file (sceglietene uno privo di informazioni personali) per ricevere il materiale necessario tramite posta elettronica.  Nella maggioranza dei casi non sarà possibile recuperarli in quanto esistono diverse varianti del ransomware e ogni giorno ne vengono create di nuove tra i più diffusi: PrisonLocker, CryptoDefense, TorLocker e CryptoBit. Pur operando in modo simile a Cryptolocker utilizzano chiavi crittografiche diverse.

Per recuperare i dati abbiamo due possibilità:

  1. Provare con Kaspersky Ransomware Decryptor https://noransom.kaspersky.com ) a decriptare alcuni file crittografati, se la versione che ci ha infettato non è recentissima abbiamo qualche possibilità di riuscire.
  2. In caso non sia possibile l’unica alternativa è ricorrere a un servizio professionale in quel caso consiglio iRecovery ( https://www.irecoverydata.com ). Chiederanno di spedire HD e i vari supporti compiti alla loro sede e dopo un’analisi (spedizioni e analisi sono gratuite) forniranno un preventivo e starà a voi decidere se tentare il recupero o meno dei file.

Autore: Loris Modena

Loris Modena SENIOR DEVELOPER
Per Ind Loris Modena titolare di Arte e Informatica, inizia a lavorare nel settore informatico nel 1989 quale sistemista addetto alla manutenzione e installazione di sistemi informatici. Inizia a programmare per il web nel 1997 occupandosi di programmazione CGI in PERL e successivamente passando alla programmazione in PHP e JavaScript. In questo periodo si avvicina al mondo Open source e alla gestione di server Linux. Certificato PrestaShop Front-End e Back-End Developer. Certificato Google Ads Fundamentals, Google Shopping.

 

Categoria: