Cryptolocker e Ransomware: se li conosci li eviti

Davide Di Sarno Davide Di Sarno   |   16 giugno 2016
Ti sono mai arrivate mail dall’Enel, da Telecom, da SDA in cui ti chiedono di loggarti sul loro portale per scaricare fantomatiche fatture o controllare misteriose spedizioni? Bene, se ti è successo potresti essere stato colpito da Cryptolocker o da un virus della famiglia Ransomware.

Come si presentano queste email?

Ti allego qui un paio di esempi per farti capire quali email conviene NON CLICCARE nel modo più assoluto:

1_cryptolocker

Questa invece una finta email del corriere GLS:

mail_cryptolocker_GLS_2

La Famiglia Ransomware

La famiglia Ransomware prende in ostaggio i tuoi file e te li restituisce (a detta dei sequestratori) solo dopo il pagamento di un riscatto.
Questa famiglia di virus si è sviluppata a partire dal 2013: i virus hanno colpito molti privati e aziende; anche i media ne hanno scritto diffusamente, soprattutto per i casi più eclatanti, come quello delle cartelle cliniche di un ospedale statunitense che sono state criptate, facendo propendere la direzione per il pagamento del riscatto (per approfondire ti posto qui l’articolo sul caso, scritto dal quotidiano La Repubblica).

usa_pirati_informatici

Il Cryptolocker

Il cryptolocker è la versione più famosa e blasonata di questa famiglia. Si tratta di un eseguibile, ciò significa che per commettere un vero danno l’utente deve installarlo, anche se ci sono versioni di virus che si occupano loro stessi di scaricarlo e installarlo direttamente.

Generalmente viene diffuso tramite email e spesso l’estensione viene nascosta dentro un file .zip o con una doppia estensione come, ad esempio, nomedocumento.pdf.exe.

Ma… L’antivirus funziona?
In realtà, a parte qualche situazione particolare, i normali software antivirus sui server di posta sono abbastanza preparati a questa situazione e questi virus vengono rimossi automaticamente.

Il filtro di TITANKA!

Probabilmente avrai scaricato diverse email dal server TITANKA! con un allegato dal nome warning.txt.
Questo indica che dall’email è stato rimosso un allegato potenzialmente dannoso!

TITANKA_defender

In questi ultimi mesi abbiamo assistito a diverse ondate di email di spam che avevano allegati da rimuovere.

In seguito la situazione si è evoluta: dato che la maggior parte degli allegati veniva rimossa, le successive ondate contenevano dei link a file js, posizionati su alcuni server (sicuramente compromessi).

Tramite questi file js si determinava a sua volta il download del virus ransomware. 

Il tenore delle lettere era sempre lo stesso: più o meno, fatture dell’Enel, comunicazioni di Sda etc…, ma bisogna stare molto attenti perché partendo da un italiano stentato sono diventate via via più precise, quasi delle copie perfette delle originali, tanto da far pensare che ci sia dietro davvero una persona che scrive l’email.

Il giornalista americano Brian Krebs ci svela i retroscena di questi attacchi (vedi qui l’articolo di La Stampa a riguardo): questi software vengono sviluppati, generalmente in paesi dell’Est europeo, e ceduti attraverso dei veri e propri contratti di affiliazione; lo sviluppatore intasca una percentuale sugli utili che vengono pagati dalle vittime, mentre il resto viene incassato dall’affiliato che lo utilizza e infetta i computer.

Intervenire: quando e come

Una volta che il virus ha criptato i file, in linea di massima è difficile intervenire se non formattando il computer. La possibilità di recuperare i file criptati è abbastanza remota (dato che esistono molte varianti di questo virus) anche perché il Ransomware è in continua evoluzione proprio per evitare che i software antivirus riescano a bloccarlo.

A questo punto ci deve essere una protezione preventiva del sistema!

Noi in TITANKA! facciamo già una buona prima parte, bloccando una parte considerevole delle email che contengono ransomware o sono riconducibili a un tentativo di attacco: sui nostri server c’è un sistema antispam/antivirus che si aggiorna con una certa frequenza e gli allegati malevoli vengono sempre rimossi. Nonostante il nostro primo filtro, non sei al sicuro al 100%evoluzioni rapidissime di questo virus potrebbero bypassare il sistema, soprattutto email “false” che ti inducono ad andare sul un altro sito per scaricare il virus, mascherato da documento o altro.

Come difenderti_def

Qualche consiglio per la salute del tuo pc

La cosa più importante è avere un sistema antivirus sempre aggiornato e soprattutto fare dei frequenti backup dei file più importanti.
Sarebbe opportuno affiancare al normale antivirus anche un antimalware che ha più probabilità di intercettare queste minacce.

Ti possiamo consigliare Malwarebytes che si trova a questo link. Questo software insieme all’antivirus tradizionale, dà al computer una protezione più ampia, ma attenzione: la versione gratuita non permette (dopo il periodo di prova) di avere una protezione in tempo reale; è possibile effettuare solo scansioni periodiche.
L’azienda Malwarebytes è in procinto di sviluppare un software specifico per la protezione dai Ransomware (attualmente è attiva la versione BETA che puoi scaricare qui).

I consigli più importanti sono:  opera sempre con attenzione, non aprire le email sospette e se hai un dubbio contattaci: sapremo come aiutarti!

Richiedi informazioni

* Nome:
* E-mail:
* Località:
Telefono:
Messaggio:
Davide Di Sarno

Posted by Davide Di Sarno

Davide lavora in TITANKA! da 10 anni e si occupa dei sistemi interni ed esterni e dell'assistenza clienti. All'occorrenza si occupa anche di "facility management": se c'è una lampadina da cambiare (o uno stand da allestire o qualcosa da riparare) sicuramente la prima persona su cui tutti fanno affidamento è lui! Nel tempo libero gli piace fare escursioni di trekking e adora disegnare fumetti. Disponibilità è la sua parola d'ordine.


Potrebbero interessarti anche: