Non aprite quell’allegato … una nuova ondata del virus Cryptolocker
Attenzione al virus Cryptolocker una nuova ondata
Si riceve sulla propria casella di posta elettronica un messaggio ingannevole con allegati oppure con un link, in realtà l’allegato è un virus che cripta il contenuto del computer e scatta il ricatto dei pirati informatici
Negli ultimi giorni si è verificata una nuova ondata di attacchi attraverso invio di mail contenenti il già noto virus Cryptolocker, che imperversa già da poco più di un anno sul web, ma proprio ora aumenta nuovamente l’allarme.
Cos’è il virus CryptoLocker
CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker. Al primo avvio, il software si installa nella cartella Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.
Anche se CryptoLocker venisse rimosso subito, i file rimarrebbero criptati in un modo che i ricercatori ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file di cui non si disponga un backup non compromesso.
Come prevenire un attacco da CryptoLocker
Per prima cosa consiglio di non aprire allegati. A questo punto direi nessun tipo di allegato: non sono più sicuri, anche perché la minaccia di nuovi virus è sempre in agguato. Per farsi spedire un allegato ci sono altri modi, come per esempio con un servizio cloud tipo Google Drive o Dropbox (anch’essi potrebbero non essere sicuri al 100%, ma se vi accedono solo persone fidate, i rischi sono molto più contenuti). Per seconda cosa fare un backup di tutto. Questo vale non solo per i rischi legati agli attacchi dei virus, ma anche per la possibile rottura del disco fisso o del PC stesso … è fondamentale avere una copia di sicurezza dei propri dati (da una recente indagine sembra che il 30% degli utenti non abbia mai fatto una copia dei propri dati e solo il 19% lo fa in modo regolare, almeno una volta a settimana). Anche cliccare su ogni link che ci si presenta (sia nelle e-mail che nei social network oppure in siti sospetti) senza controllare un attimo prima l’url è una pratica sconsigliata. Infine un buon antivirus sempre aggiornato è altresì fondamentale, anche se in questo caso non vi sia una certezza assoluta perché il virus potrebbe essere nuovo o semplicemente perché l’antivirus non lo riconosce.
Occorre sempre maggiore attenzione visto la grande diffusione dei pirati informatici e degli hacker. Sempre più spesso anche siti web vengono attaccati ed usati per scopi illeciti. Purtroppo non esiste una “cura” definitiva e questo i cyber criminali lo sanno.
Altre informazioni sul virus CryptoLocker.