Ultimamente se ne fa un gran parlare: cos’è, cosa fa e come proteggersi da Cryptolocker?
Cos’è Cryptolocker
Cryptolocker è un ransomware: appartiene a quella famiglia di malware che si installano con lo scopo di estorcere un importo in denaro, impedendo con forme diverse l’utilizzo del computer.
Si sono presentati diversi casi di ransomware negli ultimi anni; uno dei più famosi è stato il “virus della Polizia di Stato”, che recentemente si è ripresentando sotto forme diverse.
Cosa fa Cryptolocker
I ransomware sono suddivisi in due famiglie, in base al loro comportamento:
- Lock screen ransomware: utilizza un’immagine a schermo intero o una pagina Web per impedirvi di accedere al vostro PC;
- Encryption ransomware: blocca i documenti presenti nel PC criptandoli con una password, impedendovi di aprirli.
Cryptolocker fa parte di quest’ultima famiglia. Il computer sembra continui a funzionare, ma i file personali, quali documenti, fogli di calcolo e immagini, sono criptati, con una chiave (RSA a 2048 bit) sostanzialmente inviolabile. I criminali conservano l’unica copia della chiave di decrittazione sui loro server, quindi non è possibile sbloccare i file senza il loro aiuto.
La richiesta di una somma di 300,00€ per fornire la chiave di sblocco, da pagare entro un termine relativamente breve (3 giorni), completa il quadro. Ovviamente non vi è nessuna certezza che una volta pagato si possa tornare in possesso dei propri file in forma utilizzabile.
Cryptolocker può infettare solamente i sistemi operativi Microsoft.
Come proteggersi da Cryptolocker
Innanzi tutto bisogna considerare che un buon prodotto antivirus commerciale è in grado di rilevare Cryptolocker (anche nelle sue varianti che ogni settimana si presentano); è quindi fondamentale l’utilizzo di questi prodotti, che devono essere configurati correttamente, specialmente in ambienti di rete, oltre che mantenuti aggiornati.
Ovviamente anche gli autori del ransomware sono attenti ed attuano contromisure che portano le variati di Cryptolocker a presentarsi sotto forma di archivi anche protetti da password, nel tentativo di eludere i controlli perimetrali attivati sui firewall che si occupano di controllo dei contenuti. In breve, anche se un antivirus aiuta molto, le alcune varianti possono superare le nostre barriere di difesa. E’ indispensabile quindi utilizzare altri metodi.
Non è sufficiente pensare che un buon strumento di rimozione permette di togliere Cryptolocker dal PC, perché nessuno di questi removal tools è in grado di restituirmi la fruibilità dei documenti criptati!
Ci sono solo poche opzioni per recuperare i file crittografati, e tutte si basano su l’aver acceso ad un sistema di ripristino basato su un backup disconnesso dal computer infetto. Quindi basta avere un backup off-line, su di un supporto che non sia condiviso dal computer infetto.
Basta, appunto.
Quanti di voi utilizzano una buona politica di backup e verificano periodicamente i backup stessi?
Fonti:
http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/
http://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery/
http://watchguardsecuritycenter.com/2013/11/04/everything-you-wanted-to-know-about-cryptolocker/
http://attivissimo.blogspot.it/2013/11/allarme-per-cryptolocker-virus-che-ti.html
http://retetre.rtsi.ch/index.php?option=com_content&task=view&id=5102&Itemid=62