Cata Proteo

2015 | Attenzione al Virus Cryptolocker!

Negli ultimi tempi si sono intensificati gli attacchi IWC Pilot Replica da parte del virus malware chiamato Cryptolocker (nelle sue numerose varianti): ecco come conoscere e prevenire questa minaccia.

Il virus Cryptolocker è un trojan di tipo ransomware, ovvero, un malware che, se mandato in esecuzione, cripta i documenti (raggiungibili anche in rete) rendendoli inutilizzabili.

Per sbloccare i files viene richiesto il pagamento di un riscatto: se la vittima non effettua il versamento della quota richiesta, la chiave utilizzata per decifrare i suoi dati verrà definitivamente cancellata dagli autori del virus rendendo impossibile il loro recupero. In taluni casi poi, anche pagando il riscatto accade che la chiave per decifrare i dati non venga inviata.

Come si diffonde e perchè è difficile da rilevare?

Il virus Cryptolocker sfrutta una strategia chiamata “social engineering”, cerca cioè di ingannare gli utenti portandoli ad aprire documenti verosimili, recapitati solitamente come allegati ai messaggi di posta elettronica, ed inviati da mittenti apparentemente legittimi. I file eseguibili vengono spesso "zippati" (compressi) e l’estensione “mascherata”, ovvero non viene visualizzato come “nomefile.exe” ma “nomefile.pdf.exe” o “nomefile.docx.exe”, ecc. Questo trae facilmente in inganno il destinatario.

Esistono anche altri metodi per indurre gli utenti a scaricare il malware, come ad esempio e-mail di “phishing”, nelle quali è contenuto un link ad un file .doc o .pdf al cui interno si possono trovare altri link, macro, ecc. che lanciano il virus.

In ogni caso, una volta eseguito il file contenente il virus, il sistema infettato inizia a criptare tutti i dati raggiungibili, sia sul disco locale che sulla rete.

In alcuni casi l'esecuzione non viene bloccata dall'Antivirus semplicemente perchè quella scaricata dall'utente è una nuova versione del malware non ancora presente nel database dell'Antivirus.

Quando gli autori di Cryptolocker iniziano a diffondere un nuovo set di e-mail contenente l'attacco, contestualmente creano una nuova versione del virus: in questo modo gli utenti che ricevono una nuova e-mail scaricheranno sempre una nuova versione del virus creata apposta per non essere clone vacheron constantin overseas watches rilevata dalla maggior parte dei software Antivirus.

Ne consegue che, nel caso di Cryptolocker, l'accuratezza delle e-mail/documenti inviati e l'estrema rapidità con cui le nuove varianti vengono create (anche una al giorno), non sempre consentono ai produttori degli Antivirus di essere sufficientemente veloci nel rilascio degli aggiornamenti e questi fattori portano sovente ad un'alta probabilità di infezione.

Come prevenire il rischio?

Come spesso accade, il comportamento e le abitudini dell’utente possono fare la fondamentale differenza; è opportuno quindi seguire queste regole basilari:

porre sempre la massima attenzione alla natura degli allegati che decidiamo di aprire, in modo particolare al contenuto degli ZIP. Non si dovrebbero tassativamente aprire gli allegati con estensione .cab, .exe, .lnk a meno di non essere assolutamente sicuri della provenienza dell'e-mail;
effettuare frequentemente il backup dei propri dati (offline e, comunque, al di fuori della rete aziendale, ad esempio su dischi USB esterni);
aggiornare frequentemente il database del proprio Antivirus (almeno quotidianamente), attivando, ove possibile, i controlli aggiuntivi: controllo applicazioni, controlli proattivi, protezione della navigazione e controllo della posta;
dotarsi di soluzioni per il controllo dei contenuti a livello di gateway (UTM firewall, content security gateways) in modo da poter controllare/filtrare il contenuto del traffico mail o web prima che questo venga scaricato sul PC;
inibire, ove possibile, la ricezione via e-mail di file eseguibili (.exe) ed il loro download dal web. Questa operazione alza notevolmente il livello di sicurezza della rete, senza interferire con l'attività quotidiana degli utenti che, in genere, non necessitano di effettuare il download, l'installazione o l'esecuzione di file .exe. Laddove questo sia assolutamente necessario è consigliabile richiedere il supporto di un esperto per valutare la pericolosità del file.

ppfake.com