In questi mesi abbiamo assistito ad uno dei più violenti attacchi virali mai registrati in tempi recenti; come ormai è noto si tratta di Cryptolocker e la sua pandemia, oltre ad aver messo in crisi i sistemi di posta di mezzo mondo, ha eluso tutti i principali sistemi di protezione per arrivare ad infettare i computer di persone che invece di un rimborso si sono trovati davanti alla richiesta di un riscatto per riavere i propri files. Ma andiamo con ordine.
Crypto-che?
Cryptolocker è tecnicamente un Ransomware; tolta la definizione da entomologo, sostanzialmente è un virus che infetta il computer di chi esegue il file.
Una volta dentro, Cryptolocker agisce in maniera del tutto silenziosa.
In primo luogo scansiona il computer locale e tutte le risorse di rete collegate in rete, alla ricerca di determinati files. Tipicamente cerca documenti, fogli di calcolo, immagini ed eseguita la scansione si prepara a codificare i vostri documenti più importanti,
Finito il lavoro, arriva il momento in cui viene presentato il conto all’utente attraverso una schermata sul browser dove viene chiesto un riscatto in Bitcoin (una moneta virtuale).
A questo punto scatta in gioco il fattore tempo: se lo fai subito, dice il virus, lo paghi la metà, altrimenti dopo un tot di ore devi pagare il prezzo pieno per avere i tuoi files.
Come rischio l'infezione?
Sostanzialmente in un allegato di una mail.
- Un corriere che comunica la mancata spedizione un pacco in arrivo per un problema non meglio specificato (ma contenuto nell’allegato);
- Una conferma di un ordine (in genere di importo rilevante);
- Un rimborso di un ordine (in genere di importo rilevante);
- Un sollecito di pagamento;
Ma la motivazione sta alla fantasia degli autori e quindi cambia caso per caso, così come cambia la tipologia del file allegato.
Non a caso una chiave di successo nella propagazione virale è appunto la presenza di numerose varianti.
Attualmente sono stati rilevati due tipi di allegati:
- Il finto pdf
- Il file strano ma che si esegue.
Come è possibile che mi arrivi un virus per email?
La domanda è lecita. Ma per poter chiarire meglio questo aspetto bisognerebbe scrivere un libro!
Ora, Cryptolocker non è certo una novità, al punto che l’ultima ondata nota era di poche settimane fa ma ha avuto molta meno eco per via del fatto che chi aveva un buon antivirus (ed erano pochissimi quelli aggiornati al momento del botto) era salvo, gli altri un po’ meno.
A questo giro, ed è il motivo per cui è esploso il pandemonio, nessun antivirus risultava ancora pronto nelle prime fasi della pandemia, poiché l’infezione ha girato nella rete ad una velocità talmente elevata da non permettere agli antivirus di rispondere in tempo utile ed inoltre, e questo è un altro fattore di novità, sono girate diverse varianti in sequenza tale tale da rendere già obsoleta una definizione appena uscita.
Come posso capire, nel marasma quotidiano, se una mail va aperta o no?
In generale consiglio sempre di cestinare le mail non attese, nel senso che se sappiamo di non aspettare consegne da corrieri, non abbiamo fatto ordini in Internet, etc cestinate senza ombra di dubbio.
Ultimamente arrivano anche finte mail da Telecom per esempio, ma se solitamente le ricevete in forma cartacea, la risposta l'avete già trovata da soli!
Alla peggiore delle ipotesi chiedi ad un tecnico PRIMA di aprire il file.
Ok, ho preso Cryptolocker. Pago non pago?
I soldi sono i tuoi, la scelta pure. Se hai un backup di quello che hai perso mettilo in cassaforte e ripulisci il pc.
Se hai perso tutto e non c’è rimedio io, fosse il mio computer, difficilmente pagherei. Ma ovviamente è una mia opinione.
E comunque ricordate un vecchio motto: un backup, di suo, non sembra avere alcun valore; è il ripristino che fa la differenza.
Volete approfondire meglio questo argomento? Vi invito a leggere l'articolo completo sul mio sito internet a questo indirizzo http://www.brinformatica.it/cryptolocker-questo-sconosciuto/
P.s. Per qualsiasi dubbio potete inoltrare la mail sospetta di cui non vi fidate a questo indirizzo: virus@brinformatica.it
Roberto Berardi
B.R. Informatica
www.brinformatica.it