Cos’è un CryptoLocker?
Quando un’email rovina la giornata: e il CriptoLocker è nel pc
Può una semplice email rovinare letteralmente la giornata, portando, con un clic ingenuo e su cui non si è riflettuto fino in fondo, a perdere tutti i propri dati, da quelli personali a quelli del lavoro, magari addirittura condivisi coi colleghi?
Purtroppo sì, e quando succede sono dolori, perché ripristinare i file in modo corretto è estremamente complesso e non è sempre detto che ci si riesca. Addirittura potrebbero non bastare le copie di backup, anche se sono l’unico modo per poterci almeno provare.
Di solito il tutto parte da un’email assolutamente innocua: magari l’annuncio di un bonifico a favore di chi la riceve, o la comunicazione che delle merce restituita è arrivata a destinazione, con tanto di ringraziamento, addirittura a volte un messaggio inviato da un conoscente (ovviamente falso).
Si clicca sull’allegato, che solitamente, almeno un apparenza è un pdf classico, e il disastro è partito. I file vengono critpati, in modo da rendere impossibile l’accesso, e viene inviato un messaggio a tutto schermo.
Il ricatto è partito: se si vogliono recuperare i propri dati, bisogna pagare entro pochi giorni. E sicuramente scatta il panico. Qualcuno cede, pensando di sacrificare cifre non elevatissime (scelte appositamente), e magari perde soldi e file.
CryptoLocker è un ransomware: la definizione
Si sta parlando del CryptoLocker, un tipo di ransomware estremamente pericoloso che cripta i dati bloccando di fatto il pc della vittima, mettendola quindi nella condizione di non avere i suoi documenti e di non poter nemmeno lavorare.
E eliminarlo, col recupero poi del materiale, è tutto tranne che evidente. La prevenzione rimane ancora la migliore arma contro questa minaccia, dato che non tutti gli antivirus riescono a coglierli e anche i vari sistemi di rimozione e recupero dati non sono del tutto efficaci.
Nel 2017, tra le imprese colpite da un attacco informatico, il 75% era stata colpita proprio da un ransomware. Che cos’è? Si tratta di un tipo di malware, ovvero un software malevole capace di intrufolarsi nei computer, nei dispositivi mobili e nelle reti aziendali per rubare dati personali, spiare le vittime e danneggiare i sistemi infetti.
In particolare, il ransomware è un tipo di malware che, dopo aver infettato un computer, si propone di criptare i dati o di bloccare il computer della vittima. Per riavere i propri dati, si chiede un pagamento.
Viene richiesto insomma un proprio riscatto a chi tiene in ostaggio i propri dati, criptandoli per renderli inaccessibili. Ma non è detto che dopo il pagamento, si possono riottenere. Il consiglio è sempre di non pagare.
I ramsonwer si dividono in due categorie: i “lock screen” che sfruttano un’immagine a schermo intero o una pagina web per impedire l’accesso al computer e gli “encryption” che bloccano i documenti presenti nel computer, criptandoli con una password e rendendo impossibile aprire i file.
CriptoLocker appartiene al secondo tipo. Viene diffuso tramite un pc che fa già parte di una rete di computer zombie controllabili da remoto, usata spesso per sferrare attacchi informatici, o come detto tramite email.
Come viene inviato il CryptoLocker? Attenzione alle email.
Esse possono essere di vario tipo: dall’annuncio di un bonifico a proprio favore a quello della ricezione di merce restituita, sino anche a messaggi fasulli inviati da enti quali FBI o Polizia Postale o quelli di un conoscente (ovviamente fasulli). Il pc può essere infettato anche da pagine Internet costruite ad hoc o da messaggi istantanei sui social
Il file allegato è solitamente in formato zip, con un’estensione pdf. Almeno all’apparenza, perché in realtà si tratta di un eseguibile, ovvero un .exe. Basta un clic per far installare CriptoLocker sul pc, e a quel punto il danno rischia di essere fatto.
Cosa succede quando CryptoLocker è nel pc
Il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico.
Cifra dunque i documenti presenti sul disco fisso, concentrandosi su alcune estensioni, dai file Microsoft Office a Open documenti, immagini eccetera. L’utente riceve un messaggio, solitamente a schermata intera, che gli dice che i suoi dati sono stati criptati.
A quel punto gli si chiede un riscatto, solitamente attorno a 300 dollari, una cifra comunque non proibitiva. Viene imposto di pagarli in tre giorni, altrimenti la chiave per decriptare i dati sarà eliminata per sempre. Si può pagare con varie forme, dai Bitcoin a sistemi di pagamento online.
Ultimamente sono stati allungati i tempi di pagamento, dato che in molti faticavano a riuscire a trovare il metodo per farlo in 72 ore. Ma, se si cede al ricatto, i dati vengono restituiti? Non è detto. Quindi, cosa fare?
Il backup può salvare i dati
Il metodo basilare per salvare i propri documenti da attacchi di vario genere, non solo da CryptoLocker, è quello di fare backup regolari, su unità esterne come dischi o chiavette USB. Ma attenzione che se esse sono collegate al pc potrebbero essere infettate, rendendo tutto inutile.
Gli antivirus sono certamente utili a proteggere il pc, ma non è detto che riescano a salvare i dati. Per esempio, alcuni software rimuovono l’infezione dopo che i file sono stati criptati, quindi tropo tardi per poterli recuperare. Averlo installato è però indispensabile, non solo per i CryproLocker.
Per quanto concerne i server cloud, non sono immuni alla criptazione dei dati, visto che essi sono sincronizzati dal pc. E c’è il rischio di portare il malware a tutti gli utenti che condividono documenti. Di solito però si possono però recuperare versioni precedenti di circa 30 giorni dai server cloud, annullando quindi l’effetto di CryptoLocker.
Rimuovere il malware CryptoLocker è possibile?
Cosa fare se si riesce ad accorgersi di aver aperto un allegato sospetto? Ovviamente, ideale è non aprirlo, ma non sempre lo si capisce in tempo. Consigliabile, per prevenire, usare un gestore di posta con antivirus e non condividere mai cartelle con dati importanti se collegate in rete con altri pc.
Certo, più facile a dirsi che a farsi, con l’home office, che ha preso piede soprattutto col Covid, e le nuove funzionalità dei pc connessi tra loro. Se si intuisce che nel pc è presente CryptoLocker prima che esso possa cifrare i dati, lo si può eliminare riducendo i danni.
Per prima cosa, il pc infetto va isolato, togliendo anche la connessione Internet. Poi si scarica un programma per la rimozione di malware come Combix, da salvare su una chiavetta USB. Si riavvia poi il pc in modalità provvisoria.
Si lascia lavorare Combix dalla chiavetta, sempre in modalità provvisoria. Una volta rimosso il malware si cancellano tutti i file temporanei con l’ausilio di programmi come Ccleaner. A quel punto si può riavviare il pc in modalità normale, installando magari un ulteriore anti malware.
Per provare a recuperare i dati cripati ci sono programmi come ShadowExlporer, anche se ultime analisi pare che le nuove versioni del virus si premurino di rimuovere tutti i punti di riprestino precedenti e quindi gli shadow file oltre che a rendere impossibile l’undelete.
Un’informazione utile è che molte versioni per esempio di Windows permettono di ripristinare versioni precedenti dei file salvati, che possono essere utili per salvare cartelle e file. Vengono create in automatico quando si esegue il backup.
Pare che il sistema operativo Linux sia attaccabile in modo meno semplice, dato che è meno diffuso e punta molto sulla sicurezza.
Noi di OsaTech siamo a vostra disposizione per rispondere alle vostre domande e provare a salvare i vostri dati se CriptoLocker o altri virus sono riusciti a penetrare nel vostro pc. Vi assistiamo anche da remoto.
