Criptolocker, questo (s)conosciuto

Il virus CriptoLocker è un RansomWare che si sta diffondendo sempre di più grazie al phishing. Vediamo in questo articolo come accorgersi di questo virus, come isolarlo, come rimuoverlo e come prevenirlo.

Come molti di voi ormai sapranno, questo virus, detto RansomWare, si sta diffondendo un po’ ovunque… Ma vediamo quali sono le sue caratteristiche, come evitarlo, come isolarlo in caso di infezione e delle strategie di backup efficienti contro questo Virus.
Cos’è un RansomWare?

da Wikipedia: Un Ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
Come posso prenderlo?

In pratica vi arriva una mail da parte di SDA, ENEL, BRT, TELECOM ITALIA, DHL, e altri vari illustri nomi, la quale vi chiede di scaricare un allegato (formato .zip) il quale dentro dovrebbe contenere un documento.
Nel file zip invece che il documento c’è un file EXE che l’utente nella maggior parte dei casi apre, convinto che si tratti di un semplice documento.
Non è proprio facilissimo da prendere quindi, uno deve proprio essere curiosissimo di vedere la mail che gli è appena arrivata, scritta oltretutto in un italiano pedestre.
Gli antivirus che sicuramente riconoscono questo tipo di virus sono il Norton, Kaspersky, sugli altri non ho avuto notizia, fortunatamente. Microsoft Security Essential invece lo fa passare senza nessun avvertimento, quindi è bene dotarsi di un antivirus un po’ più evoluto di quello di Microsoft.
Come funziona?

So benissimo che quando uno è davanti al pc e sta lavorando spesso non fa attenzione a cosa gli arriva, magari è al telefono o sta facendo più cose insieme e non fa caso al fatto che la mail è indubbiamente sospetta. La apre senza pensarci troppo su, apre il file .exe che viene eseguito e questo subito si nasconde nella cartella c:\windows\nomeacaso.exe ed inizia a lavoare in background.
L’utente non si accorge di nulla finché non inizia a vedere delle icone bianche al posto delle icone di documenti che aveva sul desktop. A questo punto è già quasi troppo tardi, i primi documenti sono stati già criptati.
Come isolarlo?

Il virus è fatto in modo da andare a criptare quanti più file possibile nel minor tempo possibile. Cripta file .doc, .xls, .pdf, .jpeg, .pst, cercando di creare il danno maggiore all’utente. Non solo, cerca subito cartelle condivise in rete e va a criptare anche i documenti nella rete (NAS, SERVER, BACKUP SU SERVER, CARTELLE CONDIVISE DA ALTRI PC…)
LA PRIMA COSA DA FARE APPENA SI SCOPRE DI AVER PRESO QUESTO VIRUS E’ SPEGNERE IL PC!!!
Se poi si è un po’ pratici bisogna poi avviare windows in modalità provvisoria, scollegato ovviamente dalla rete, e trovare il file .exe che si trova appunto in c:\windows.
Se le ultime due righe vi sono sembrate arabo, chiamate il vostro tecnico di fiducia e fategli presente il problema.
Va detto che non è un virus “difficile” da rimuovere, anzi. E’ la sua pericolosità una volta installato a renderlo uno dei peggiori problemi per gli utenti e per chi amministra i loro pc.
E i documenti che fine fanno? Come li riottengo?

I documenti criptati in teoria si possono recuperare o pagando gli hacker (sconsigliatissimo) o pagando per un tool di decriptazione fornito da una società italiana che vi fornisce un tool (in russo) per la decriptazione dei file.
Ovviamente la cosa è un po’ border-line, sinceramente ipotizzo che questa società abbia contatti con persone che conoscono chi manda questi file, però l’importante in questi casi è recuperare i files, non tanto pensare di andare a beccare degli hacker russi nascosti nella tundra…
Ok, ho perso i file, ho capito la lezione, non voglio pagare, come faccio per non cascarci più?

Prima di tutto non si aprono le mail sospette, come non si accettano passaggi dagli sconosciuti e non si accettano caramelle dagli estranei.
Se una mail vi sembra sospetta, controllate bene i vari link dove mandano, basta passarci sopra con il mouse. Controllate anche l’indirizzo email dal quale arriva, sicuramente non è di quelli “standard”.
Procuratevi un antivirus, anche a pagamento. Spendere 20 / 30 euro l’anno vi potrebbe salvare dal dover spiegare a vostra moglie / marito come mai avete perso tutte le foto dei bambini, vi assicuro che in quel caso preferireste nascondervi insieme agli hacker russi nella tundra…
Eliminate la condivisione delle cartelle dei vostri pc, e se volete tenerle condivise, fate il backup di queste cartelle!
Ricordate che se anche uno solo dei pc della vostra rete è sprovvisto di un antivirus decente e contrae questo virus, tutti i pc anche con antivirus serio della rete, se hanno cartelle condivise, sono possibili (sicure) vittime di questo virus.
Sono un IT, o similare, come posso adottare una strategia di backup intelligente e anti RansomWare?

Se sei un IT dovresti già saperlo :), se sei un povero dipendente a cui il capo ti fa fare da IT perché ne capisci più degli altri di pc, allora hai tutta la mia comprensione.
Ti consiglio di far comprare al tuo cliente / capo un bel NAS con due hard disk, e di usarlo esclusivamente per i backup.
Però, dato che il RansomWare viaggia tramite le cartelle condivise, fare un backup semplicemene copiando una cartella sul NAS sarebbe pressoché inutile.
Devi innanzitutto disabilitare sul NAS il protocollo SMB in modo da evitare che da ogni pc possano anche solo entrare nel NAS.
Mettere semplicemente una password potrebbe non essere sufficiente in quanto se su un pc la password era stata memorizzata, il RansomWare viaggia liscio senza trovare ostacoli.
La cosa più utile sarebbe quella di effettuare i backup via FTP, abilitando ovviamente solo questo protocollo sul NAS ed impostando sul server e sui client il backup (tramite Cobian, per esempio) via FTP al NAS.
In questo modo il RansomWare, che viaggia sul protocollo SMB, non riuscirebbe ad entrare nel NAS e fare danni.
Un’altro metodo consiste nel cambiare estensione al file di backup: CriptoLocker infatti sa di avere poco tempo e cripta le estensioni più famose e che più fanno danno: MDB, JPEG, PDF, DOC, XLS, ZIP, perché sa benissimo che un JPEG, ovvero una foto, è irrecuperabile, come un file PST di outlook. Un DOC o un XLS magari possono essere rifatti, ma pensiamo ad un database, alle foto, a dei documenti scannerizzati…
Detto questo, se utilizziamo delle estensioni “bizzarre” per il nostro backup, potremmo salvarci comunque… E’ UN METODO RISCHIOSO PERCHE’ NON GARANTISCO CHE USANDO ESTENSIONI BIZZARRE IL VIRUS NON VE LE CRIPTI LO STESSO, ma la mia esperienza dice di fatto questo. E’ un metodo che si può usare in affiancamento ad altri sistemi di backup.
Detto questo, ricordatevi la regola dei backup, detta regola del 3-2-1:

Possedere almeno tre copie dei vostri dati.
Conservare le copie su due supporti diversi.
Conservare una copia del backup off-site.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *