Cryptolocker e Ramsomware: se li conosci li eviti

Davide Di Sarno Davide Di Sarno   |   16 giugno 2016
Vi sono mai arrivate mail dall’Enel, da Telecom, da SDA che vi chiedono di loggarvi sul loro portale per scaricare fantomatiche fatture o controllare misteriose spedizioni?
Bene, se vi è successo potreste essere stati ad un passo dal Cryptolocker o da un virus della famiglia Ramsomware.

Come si presentano queste mail?
Vi allego qui un paio di esempi per farvi capire quali mail conviene NON CLICCARE nel modo più assoluto:

1_cryptolocker

Questa invece una finta mail del corriere GLS:

mail_cryptolocker_GLS_2

La Famiglia Ramsomware
La famiglia Ramsomware prende in ostaggio i vostri file e ve li restituisce (a detta dei sequestratori) solo dopo il pagamento di un riscatto.
Questa famiglia di virus si è sviluppata a partire dal 2013: i virus hanno colpito molti privati e aziende, anche i media ne hanno scritto diffusamente, soprattutto per i casi più eclatanti come quello delle cartelle cliniche di un ospedale statunitense che sono state criptate, facendo propendere la direzione per il pagamento del riscatto (per approfondire vi posto qui l’articolo sul caso scritto dal quotidiano La Repubblica).

usa_pirati_informatici

Ora veniamo al Cryptolocker
Il cryptolocker è la versione più famosa e blasonata di questa famiglia, è chiaramente un eseguibile, ciò significa che per commettere un vero danno l’utente deve installarlo, anche se ci sono versioni di virus che si occupano loro stessi di scaricarlo ed installarlo direttamente.
Generalmente viene diffuso tramite mail e spesso l’estensione viene nascosta ad esempio dentro un file zip o con una doppia estensione come ad esempio nomedocumento.pdf.exe .
Ma… l’antivirus funziona?
In realtà, a parte qualche situazione particolare, i normali software antivirus sui server di posta sono abbastanza preparati a questa situazione e questi virus vengono rimossi automaticamente.
Il filtro di TITANKA!
Probabilmente avrete scaricato diverse mail dal server TITANKA! con un allegato dal nome warning.txt…
Questo indica che dalla mail è stato rimosso un allegato potenzialmente dannoso!
TITANKA_defender
In questi ultimi mesi abbiamo assistito a diverse ondate di mail di spam che avevano allegati poi rimossi.
In seguito la situazione si è evoluta: dato che la maggior parte degli allegati veniva rimossa le successive ondate contenevano dei link a file js posizionati su alcuni server (sicuramente compromessi).
Tramite questi file js si determinava a sua volta il download del virus ramsomware. 
Il tenore delle lettere era sempre lo stesso più o meno, fatture dell’Enel della Telecom, comunicazioni di Sda etc…, ma bisogna stare molto attenti perché partendo da un italiano stentato sono diventate via via più precise, quasi delle copie perfette delle originali, da far pensare che ci sia dietro davvero qualcuno a scrivere la mail.
Il giornalista americano Brian Krebs ci svela i retroscena di questi attacchi (vedi qui l’articolo di La Stampa a riguardo): questi software vengono sviluppati e ceduti, generalmente in paesi dell’Est europeo, attraverso dei veri e propri contratti di affiliazione, dove lo sviluppatore intasca una percentuale sugli utili che vengono pagati dalle vittime, mentre il resto viene incassato dall’affiliato che lo utilizza ed infetta i computer.
Intervenire: quando e come
Una volta che il virus ha criptato i file, in linea di massima è difficile intervenire se non formattando il computer, la possibilità di recuperare i file criptati è abbastanza remota (dato che esistono molte varianti di questo virus) anche perchè il Ramsomware è in continua evoluzione proprio per evitare che i software antivirus riescano a bloccarlo.
A questo punto ci dev’essere una protezione preventiva del sistema:
Noi in TITANKA! facciamo già una buona prima parte, bloccando una parte considerevole delle mail che contengono ramsomware o sono ad esse collegate.
Ma attenzione, nonostante il nostro primo filtro non siete al sicuro al 100%: sui nostri server c’è un sistema antispam/antivirus che si aggiorna con una certa frequenza e gli allegati malevoli vengono in pratica sempre rimossi, ma evoluzioni rapidissime di questo virus potrebbero bypassare il sistema soprattutto mail “false” che vi inducono ad andare sul loro sito per scaricare il virus mascherandolo come documenti o altro.

Come difenderti_def

Qualche consiglio per la salute del tuo pc
La cosa più importante è avere un sistema antivirus sempre aggiornato e soprattutto fare dei frequenti backup dei file più importanti.
Sarebbe opportuno affiancare al normale antivirus anche un anti malware che ha più probabilità di intercettare queste minacce, vi posso consigliare Malwarebytes che potete trovare a questo link. Questo software insieme all’antivirus tradizionale, dà al computer una protezione più ampia, ma attenzione: la versione gratuita non permette (dopo il periodo di prova) di avere una protezione in tempo reale, è possibile effettuare solo scansioni periodiche.
L’azienda Malwarebytes è in procinto di sviluppare un software specifico per la protezione dai Ramsomware, attualmente è attiva la versione BETA che potete scaricare qui.
Comunque il consiglio più importante che posso darvi è di operare sempre con attenzione, non aprire le mail sospette e se avete un dubbio contattateci: sapremo come aiutarvi!

 

Richiedi informazioni

Ho preso visione della privacy policy ed acconsento al trattamento dei dati *
*dati obbligatori

Davide Di Sarno

Posted by Davide Di Sarno

Davide lavora in TITANKA! da 10 anni e si occupa dei sistemi interni ed esterni e dell'assistenza clienti. All'occorrenza si occupa anche di "facility management": se c'è una lampadina da cambiare (o uno stand da allestire o qualcosa da riparare) sicuramente la prima persona su cui tutti fanno affidamento è lui! Nel tempo libero gli piace fare escursioni di trekking e adora disegnare fumetti. Disponibilità è la sua parola d'ordine.


Potrebbero interessarti anche: