Uno dei maggiori rischi di sicurezza informatici per le aziende negli ultimi anni è la massiccia diffusione di virus di tipo “ransomware”, meglio noti con nomi come Cryptolocker, Cryptowall, CTB-Locker, TeslaCrypt, ecc…
La grande diffusione di questi virus è dovuta ad alcuni semplice fattori chiave, ovvero la capacità di ingannare gli utenti con email che sembrano perfettamente lecite (che contengono il virus in allegato sotto le mentite spoglie di una fattura o di un altro documento) e la difficoltà degli antivirus di individuare in tempo l’attività sospetta messa in atto da questi malware, anche a causa della continua comparsa di nuove varianti degli stessi.
Cosa fanno esattamente i ransomware come Cryptolocker?
Ebbene, questi virus fanno una cosa molto semplice: criptano, e quindi rendono inaccessibili (non più “apribili” per intenderci), quasi tutti i file presenti su un computer, e in special modo tutti i file che possono risultare importanti, ovvero file Excel, Doc, immagini JPEG (quindi tutte le fotografie), PDF, file Zip, ecc…
Una volta che il virus avrà criptato questi file, non si potrà più aprirli in nessun modo se non conoscendo la password di cifratura e usando un software che possa farlo grazie a questa. Ad infezione completata, Cryptolocker mostrerà a video una schermata che avverte l’utente che tutti i suoi file sono stati criptati, e che per riaverli dovrà pagare un riscatto entro una certa scadenza. Ecco qui sotto una schermata di esempio:
Se tutti i nostri file sono stati resi inaccessibili da Cryptolocker, la situazione a questo punto può essere davvero disperata. Vero è che molte aziende decidono di pagare il riscatto, cosa che in alcuni casi può effettivamente permettere di recuperare i propri file, ma prima di passare a questa soluzione estrema, che non fa altro che finanziare criminali senza scrupoli che lucrano sul lavoro delle persone oneste, la cosa migliore da fare è affidarsi ad un’azienda specializzata nel possibile recupero dei file o ad aziende che hanno già avuto casi simili e sanno quindi come agire.
Come si prende il virus CryptoLocker?
Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
Ti capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica.
Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order123456.zip.exe e poiché i sistemi operativi Microsoft di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i tuoi file verranno criptati all’istante.
Fate attenzione, in quanto spesso i mittenti sono falsificati e sembrano del tutto leciti, come agenzie di spedizioni, banche, agenzia ecc. Negli ultimi casi, i mittenti sono dei vostri contatti, o addirittura voi stessi.
Come ci si difende da questi virus?
Purtroppo l'unica attuale difesa è la diffidenza ed il buon senso. Se non si aspettavano email dal mittente, non aprite eventuali allegati finchè non si è appurato che la maill sia stata effettivamente inviata dal mittente in questione. In caso di dubbio. rivolgetevi al vostro sistemista o tecnico per verificarne l'autenticità prima di aprire qualsiasi allegato via email.
Le linee guida da seguire nel momento in cui ci si accorge di essere stati infettati da un ransomware come Cryptolocker sono le seguenti:
- Se ci si accorge che alcuni file sono diventati inaccessibili, ma non è ancora apparsa nessuna finestra di riscatto, il consiglio è quello di spegnere subito il computer, staccarlo dalla rete e staccare qualsiasi disco esterno o altra periferica di salvataggio dati, per evitarne la compromissione. Rivolgiamoci quindi a personale esperto per la pulizia del sistema prima di riavviarlo.
- Se l’infezione è già avvenuta ed è apparsa la finestra di riscatto, prendiamo nota dei collegamenti forniti dal virus per pagare il riscatto (come ultima ratio), e procediamo quindi alla rimozione del virus. Anche in questo caso, scolleghiamo qualsiasi periferica di rete o disco esterno o altri dischi che possano essere raggiunti e compromessi dal virus. Scolleghiamo anche il computer dalla rete. Utilizzeremo una chiavetta USB per copiarci eventuali tool di rimozione, pulizia e ripristino.
- Procediamo con la rimozione del virus e con il tentativo di recupero dei file. Per questo, potremo affidarci al già citato Dr.Web, oppure ai più noti Kaspersky e Norton/Symantec.
Ecco i link del sito di Kaspersky e di altri tool per la rimozione del virus e per il possibile recupero dei file mediante decrittazione:
http://support.kaspersky.com/viruses/disinfection/8005
https://noransom.kaspersky.com/
Una ulteriore scansione e rimozione potrebbe essere quindi effettuata con Norton Power Eraser:
https://security.symantec.com/nbrt/npe.aspx
A seguito di questo, premuniamoci subito da possibile re-infezioni usando degli strumenti di monitoring più “aggressivi” per possibili attività malevole come quelle tipiche dei ransomware.
Uno di questi, spesso consigliato, è HitmanPro.Alert:
http://www.surfright.nl/en/cryptoguard.
Allo stato attuale delle conoscenze, con molte delle prime varianti di Cryptolocker è possibile affidarsi a servizi che consentono di decriptare e recuperare i file con un spesa minima. Una delle aziende in prima linea contro questo tipo di infezioni e con strumenti che possono consentire il recupero dei file criptati, è Doctor Web, azienda russa che sviluppa il software antivirus Dr.Web. Trovate qui una pagina con diverse informazioni:http://antifraud.drweb.com/encryption_trojs/?lng=en.
Abbiamo sin qui parlato della situazione peggiore, ovvero di quella in cui tutti i nostri file sono (“temporaneamente”) perduti e non abbiamo nessuna copia di riserva degli stessi. Questo ci mette nella condizione di doverci affidare a degli esperti di recupero dati, o comunque di dover utilizzare strumenti appositi per la rimozione di Cryptolocker e la decrittazione dei file. Infine, se tutto questo non dovesse funzionare, avremmo come ultima possibilità solo quella di pagare un riscatto e sperare che gli hacker che hanno confezionato il virus siano ancora “raggiungibili”, che non siano stati arrestati o i siti oscurati (in tal caso è bene informarsi su eventuali recenti operazioni di polizia, che possano in qualche modo aver avuto accesso ai sorgenti dei virus e quindi alle chiavi per la decrittazione).
Prevenzione e Backup
In questo articolo vogliamo tuttavia parlare anche di prevenzione, ovvero dei modi con cui proteggersi da Cryptolocker e da tutti gli altri ransomware in modo che un eventuale attacco non blocchi la nostra azienda e non ci faccia perdere tutti i nostri dati personali. Sicuramente il modo migliore per uscire indenni da una infezione ransomware è avere pianificato per tempo una accurata ed efficace strategia di backup dei dati. Rivolgetevi ad un esperto per pianificare delle strategie di backup dei dati in remoto, o su dispositivi non connessi o condivisi con il vostro PC.
[fonte: www.achab.it e www.iperiusbackup.net)