Gli ultimi giorni di gennaio e questi primi di febbraio sogno segnati da importanti e preoccupanti attacchi provenienti dalla rete ed in particolar modo da nuove varianti dei famosi virus CryptoLocker e TeslaCrypt, i cosiddetti ransomware, software malevoli che una volta entrati all’interno di un PC, ne criptano tutti i documenti, le immagini ed i file di maggiore importanza, rendendoli inaccessibili ai proprietari se non dietro un pagamento di un riscatto che inoltre, in molti casi, non risolve comunque il problema.
Cosa sono CryptoLocker e TeslaCrypt e come colpiscono
CryptoLocker e la sua variante TeslaCrypt, sono dei trojan apparsi per la prima volta nel tardo 2013 e che in questi 3 anni hanno subito diverse trasformazioni e modifiche consentendo di rendere inefficaci anche i migliori antivirus a pagamento. Questi virus sono una forma di Ransomware infettante i sistemi Windows, criptando i dati della vittima e richiedendo un pagamento per la decriptazione.
I nuovi CryptoLocker e TeslaCrypt che in questo inizio 2016 stanno letteralmente facendo “strage” di PC e dati degli utenti, generalmente si diffondono come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, come da Enel, Equitalia, Esercito Italiano o simili: il virus è sempre contenuto in un file ZIP allegato alla e-mail e solitamente contiene un file eseguibile con una icona e una estensione pdf, doc, xls, jpg o simile, avvalendosi del “trucco” della doppia estensione ed approfittando del fatto che i sistemi Windows non mostrano di default le estensioni dei file: ad esempio un file nomefile.pdf.js verrà visto semplicemente come un innocuo file PDF, così come un file bellafoto.jpg.js, sarà visibile come una semplice immagine JPG. Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.
Una volta avviato il file infetto contenuto nell’allegato, il virus si installa in modo del tutto silente nel PC dell’ignaro utente, modificando il registro di sistema ed attivandosi automaticamente all’avvio di Windows. Una volta operativo, si collega ad un server remoto di controllo, generando attraverso il sistema una chiave di crittografia RSA a 2048 bit e ricevendo a sua volta una chiave pubblica. A questo punto CryptoLocker o TeslaCrypt iniziano a cifrare tutti i file sensibili del disco locale e delle condivisioni di rete mappate localmente, salvando ogni file cifrato in una chiave di registro ed aggiungendo loro l’estensione .crypto , .xxx o .micro o simili.
Terminata questa attività il software informa l’utente della propria presenza sul PC, chiedendo il pagamento di una somma che varia di volta in volta ma che ultimamente sembra essersi attestata in circa 500 euro, per decriptare i file. Il pagamento del riscatto va inoltre eseguito entro 72 od al massimo 100 ore dal ricevimento del messaggio, altrimenti la chiave privata verrà cancellata dal server e nessuno potrà più accedere a questi importanti documenti.
Pagare o non pagare
Nel caso qualcuno decida di pagare quanto richiesto per il riscatto, solitamente si riceve un software di decifratura dotato della chiave privata necessaria a rientrare in possesso dei documenti altrimenti inaccessibili. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare, mentre purtroppo, sono sempre maggiori i casi nei quali le vittime dicono di aver pagato l’attaccante ma di non aver visto i propri file decifrati, per cui il nostro consiglio, per quanto doloroso per la conseguente perdita dei dati, è NON PAGARE IL RISCATTO.
Prevenire è l’unica cura
Purtroppo CryptoLocker e TeslaCrypt sono tra i virus più pericolosi presenti attualmente in rete, in grado di scavalcare anche i potenti sistemi di sicurezza di Ministeri ed enti pubblici e privati del nostro Paese (e non solo), rendendo del tutto inaffidabile ogni tipo di contromisura e costringendo le case produttrici di Antivirus ad inseguire le nuove varianti che ogni giorno vengono rilasciate, pubblicando anche più volte nello stesso giorno degli aggiornamenti per le firme dei propri Antivirus e soprattutto, costringendo loro ad ammettere l’inefficacia degli attuali sistemi di sicurezza.
Come evitare allora di essere infettati con CryptoLocker e TeslaCrypt se anche i migliori antivirus sono inefficaci? Il primo consiglio è di valutare con estrema attenzione le mail ricevute, evitando di aprire allegati contenenti file compressi ricevuti da mittenti sospetti e nel caso di dubbi, contattare anche mittenti conosciuti che solitamente non inviano mail con allegati .zip per verificarne l’effettiva conoscenza.
Il secondo consiglio è effettuare backup dei file di maggiore importanza contenuti nel proprio disco locale ed in unità di rete mappate sul PC e successivamente, a backup completato, scollegare l’unità utilizzata per il backup per non rischiare che anche questa venga compromessa.
Terzo consiglio, tenere comunque sempre aggiornato antivirus e sistema operativo, perché se pur vero che le nuove varianti non vengono riconosciute, un sistema correttamente aggiornato, può bloccare una pericolosa variante, ancora in circolo.
Attraverso queste piccole accortezze dovreste essere al sicuro da questi pericolosi virus e non rischiare di perdere per sempre ed in modo irrecuperabile, preziosi ed unici documenti, foto e ricordi della vostra vita.
