Crypto-Locker


Crypto-Locker e la sua LETALE ennesima variante:TeslaCrypt 3.0.

I cd. “ransomware” sono virus informatici potenzialmente dannosissimi: aggrediscono tutti i documenti (di qualsiasi genere) contenuti sui PC infettati ma soprattutto sugli archivi di rete e dunque su file server; al termine della procedura di cifratura che rende inservibili i file, segue una comunicazione con la richiesta del pagamento del riscatto per ottenere la restituzione del materiale.
L’infezione riguarda anche l’Italia che è uno dei Paesi più colpiti dall’ondata di attacchi, forse per la pessima ma radicata abitudine che hanno gli utenti, di cliccare ed eseguire qualsiasi file allegato ad una e-mail.
Il virus in effetti arriva generalmente attraverso una e-mail (con i soggetti più disparati e messaggi provenienti da contatti noti ed in rubrica).
Se in un recente passato i ransomware di questo tipo, erano veicolati alle vittime per mezzo di false fatture o note di credito allegate e/o rese disponibili tramite link contenuti nel messaggio, è diventata via via più frequente la mail con codici di tracking di corrieri espresso o bollette elettriche / telefoniche provenienti da ogni genere di compagnia.
Nella versione attuale l’e-mail non ha alcun testo se non la data d’invio, talvolta identica a quella inserita nell’oggetto, ed ha un allegato “.ZIP” che contiene un file con estensione “.JS” (ad esempio invoice_DjzkX0.js o invoice_scan_jWNWc3.js).
Non appena viene aperto, lo script in questione (perchè di questo si tratta), attiva il cd. dropping e scarica il contenuto malevolo che infetta il client e tutto quanto ad esso collegato.
La semplice apertura del testo dell’e-mail non costituisce un pericolo in se: solo l’apertura dell’allegato scatena l’evento malevolo.
All’esito della procedura di cifratura (non visibile all’utente che non percepisce alcun problema nel frattempo) tutti file colpiti presenteranno estensioni modificate in .XXX, .TTT e .MICRO.
Il metodo con cui viene scambiata la chiave di cifratura è mutata e non risulta possibile decifrare i file criptati con gli strumenti che (in rare occasioni) pare abbiano funzionato in passato.
Terminata l’operazione di “sequestro dei file” nelle cartelle dove questi risiedono, appaiono i file help_recover_instructions.BMP e help_recover_instructions.TXT.
Viene infine richiesto un riscatto generalmente di 500 dollari da pagare in bitcoin (moneta virtuale non tracciabile). Trascorse alcune ore dalla richiesta, il riscatto raddoppia. Dopo un’ ulteriore lasso di tempo la chiave di cifratura viene eliminata e non c’è più modo di recuperare i dati, se non prelevandoli da un backup che NON sia stato però a sua volta INTACCATO dal VIRUS.
Gli antivirus purtroppo non sempre si sono rivelati utili contro questo flagello, le cui varianti vengono rilasciate più rapidamente delle firme antivirus più diffuse.

Morale: attenzione a quello che aprite e fate in modo di avere un backup aggiornato e non raggiungibile in rete.

crypto

Come difendersi? In 3 mosse:

1) conoscere Cryptolocker

Cryptolocker normalmente viene veicolato attraverso messaggi di posta elettronica (spesso provenienti da mittenti conosciuti o credibili, come corrieri espressi, fornitori di servizi, banche, etc) contrassegnati da un oggetto che incoraggia l’utente a leggere subito l’e-mail (ad esempio: “Avviso di merce pronta”, “Fattura Ordine emessa”, “Insoluto da pagare”, etc.).

Il virus è nascosto nell’allegato alla mail che, se incautamente aperto, attiva il virus che inizia subito ad attaccare tutti i file presenti sul computer. I file vengono immediatamente criptati e resi inutilizzabili, senza possibilità di sbloccarli. L’unico modo noto per sbloccare i file è pagare on line il denaro chiesto dagli hacker in cambio di un codice di sblocco ma, purtroppo, in molti casi, anche a fronte di pagamenti effettuati i criminali informatici non inviano poi nessun codice alle persone colpite.

L’insidia di Cryptolocker è attualmente aumentata con una nuova variante del virus che, a differenza della precedente versione capace di criptare solo i file di un singolo PC, adesso sfrutta anche i percorsi di rete per attaccare i file presenti nelle reti aziendali, compresi quelli allocati su server e dischi esterni (NAS).

2) Prevenire

La difesa più efficace è come sempre la prevenzione; bisogna fare attenzione a non aprire mai distrattamente nessun allegato se non si è assolutamente sicuri della sua provenienza.

3) Aumentare le difese

L’unico modo effettivo per proteggere i dati è effettuare con regolarità delle copie di sicurezza, da salvare su dispositivi hard-disk esterni o NAS, configurati in modo da inibire l’accesso da parte del virus.
Inoltre è essenziale dotarsi di un programma antivirus di ultima generazione, il quale, in molti casi, è in grado di limitare i danni. Software antivirus “superati” o comunque non aggiornati spesso non riescono infatti a rilevare la minaccia.

Il suggerimento di INVOIP

Contattate subito il Vostro abituale referente tecnico INVOIP!

Il nostro staff tecnico e commerciale saprà consigliarVi i prodotti antivirus più efficaci e gli strumenti di sicurezza più adeguati per migliorare la protezione dei Vostri dati aziendali.