ATTENZIONE: ritorna il ransomware Cryptolocker

Cryptlocker è un virus conosciuto da tutti gli addetti ai lavori ma anche da molti utenti normali i quali, con tutta probabilità, ne hanno sentito parlare nella primavera 2015 quando, in seguito ad un’importante ondata di attacchi, anche le maggiori testate giornalistiche italiane ne hanno parlato.

L’interesse nei confronti di questo virus è poi andato calando nel tempo fino a tornare di nuovo alla ribalta nelle ultime settimane. Una nuova ondata di attacchi è infatti in atto, segnalata dalla Polizia Postale e delle Comunicazioni.

Cryptolocker è un ransomware ovvero un virus che cripta i dati presenti su un computer e chiede un riscatto per effettuare la decriptazione. Il malware colpisce solamente il sistema operativo Windows e solitamente si trasmette via email.

Il virus è rimasto pressoché invariato nel corso degli anni. Il messaggio inoltrato via email è tuttavia cambiato nelle diverse varianti che si sono osservate fino ad oggi.

Nel 2015 l’utente malcapitato riceveva un messaggio in cui si notificava l’avvenuta ricezione di un reso e in cui veniva promesso il rimborso relativo (pari anche a 1000€). L’utente era quindi invitato ad aprire la fattura allegata che tuttavia era in formato .cab ed era proprio il virus. Nella variante 2016 l’utente riceve invece la notifica dell’avvenuta spedizione di alcuni prodotti. La richiesta in questo caso è l’apertura di un link oppure di un allegato (.zip o .pdf) che provoca l’attivazione del virus. Il mittente del messaggio è solitamente un ente, una banca o un gestore di servizi.

Ciò che certamente ha incrementato l’efficacia di Cryptolocker rispetto ad altre frodi via email è l’insolita correttezza grammaticale dei messaggi inviati. Spesso infatti, in caso di email fraudolente, si possono riconoscere diversi errori all’interno delle frasi, che in questo caso sono del tutto assenti.

Come abbiamo detto in precedenza, Cryptolocker è di tipo ransomware. Una volta attivato, il virus esegue delle copie criptate dei file e ne cancella l’originale. Viene poi mostrata all’utente una finestra che notifica l’impossibilità di accesso ai dati e chiede il pagamento di un riscatto (in BitCoin).

Decriptare i file è praticamente impossibile. L’algoritmo criptografico utilizzato è troppo complesso per riuscire ad identificare rapidamente la chiave con attacchi di tipo brute-force. è possibile provare a recuperare i propri dati eliminati attraverso appositi software ma le probabilità di riuscita sono molto basse.

Se si viene infettati le best-practice sono:

  • isolare il computer colpito scollegando cavi di rete e connessioni wi-fi e rimuovendo memorie esterne
  • eliminare i file temporanei e chiudere i processi sospetti tramite task manager per rallentare la diffusione del virus;

In caso non si abbiano sufficienti conoscenze informatiche è preferibile richiedere un supporto tecnico professionale dopo aver isolato il PC.

Il consiglio quindi, come succede con ogni virus, è di proteggersi preventivamente per evitare di dover cercare soluzioni post-infezione. Proteggere la propria infrastruttura informatica attraverso sistemi avanzati ed aggiornati e pratiche atte ad evitare il maggior numero di infezioni e perdite di dati.

Ovviamente i software antivirus sono importanti ma non possono essere l’unica difesa. Eseguire periodicamente backup dei dati è fondamentale per proteggerli da questo tipo di attacchi. Molto importante è però anche verificare la bontà dei propri backup per evitare di fare affidamento su dati fallati.

Condividi