Cosa è il CryptoLocker

CriptoLocker è la nuova frontiera dei ricatti online, un pericolosissimo Ransomware (letteralmente “virus del riscatto”), ovvero la tecnica di utilizzare virus e malware per “tenere in ostaggio” un computer e chiedere un riscatto che è vecchia di anni (una trentina, più o meno, se si fa risalire il primo attacco del genere al 1989) anche se questa nuova versione è comparsa nel 2013; la  sua particolarità è la capacità di infettare (anche in poco tempo) i sistemi Windows, criptando una gran quantità di file e dati del computer infettato, per richiedere in seguito il pagamento di un riscatto per la decriptazione degli stessi.

FUNZIONAMENTO:

La posta elettronica è il canale di diffusione prediletto dagli hacker. In particolare, i cyber criminali mettono in atto campagne di phishing sempre più elaborate per ingannare gli utenti e “forzarli” a scaricare il virus del riscatto e installarlo sul loro computer. Come ogni altra campagna di phishing, il malware si autoreplica e si diffonde nel web, sfruttando la rubrica email del computer infettato.

Si diffonde quindi come file allegato di posta elettronica apparentemente inoffensivo e dà l’impressione di provenire da istituzioni legittime o da contatti conosciuti; allegata alla e-mail ci sarà un file ZIP contenente un file eseguibile tramite un’icona e un’estensione pdf.

Al primo avvio, ovvero al cliccare dell’icona, il malware si istalla sul computer con un nome casuale, aggiungendo una chiave al registro che lo mette in avvio automatico. Successivamente, il software malevolo, si connette al proprio server di comando e di controllo, generando una chiave RSA a 2048 bit, che verrà rimandata al computer infetto.

Il malware inizia quindi a cifrare i file del disco rigido, salvando ogni file cifrato in una chiave di registro.

Anche dopo il pagamento del riscatto però, non è assicurata la decriptazione completa dei file e dati poichè ovviamente non si saprà mai a chi sono stati versati questi soldi.

COSA FARE:

In caso si venga infettati dal ransomware CryptoLocker, è importante non cancellare niente, scollegare il proprio computer immediatamente dalla rete, evitare quindi che interagisca e infetti altri computer o dischi connessi allo stesso e rivolgersi immediatamente a professionisti del settore per limitare i danni del virus.

Sempre più frequenti sono gli studi tecnici che si stanno specializzando nel recupero di questo tipo di dati compromessi, criptare una chiave a 2048 bit rimane un'impresa ardua, ad ogni modo sembra che almeno per alcune versioni (magari più datate) siano state trovate delle soluzioni, in quel caso basta contattare una di queste aziende ed inviare 3-4 file infetti, potrebbero essere in grado di aiutarvi.

COME DIFENDERSI DAI RANSOMWARE:

La risposta è semplice: basta non scaricarli dalla posta elettronica e installarli nel computer.

E' necessario, insomma, fare un po’ di attenzione alla posta in ingresso e quando si naviga a non scaricare file da siti sconosciuti. Per difendersi dai ransomware è altrettanto importante aggiornare con costanza il sistema operativo del computer e installare un antivirus che riesca a individuare i malware prima che infettino il dispositivo.

Fondamentale, poi, avereun backup con il quale ripristinare il PC nel caso in cui non siriesca a bloccare preventivamente l’infezione del ransomware: ciò permetterà di avere una copia di tutti i file presenti sul discorigido senza che sia necessario pagare il riscatto. Ovviamente il backup va eseguito su un hard disk esterno, una volta effettuato scollegare il dispositivo, in modo che non sia fisicamente collegato durante un eventuale "attacco".