Ancora Cryptolocker

febbraio 11, 2016

Ancora Cryptolocker

Riportiamo quanto pubblicato dal sito Commissariato di P.S. Online:

In queste ore è in atto una nuova ondata  di e-mail  con mittenti  vari ( Istituti, Enti, gestori telefonici e fornitori di servizi) contenenti  link e/o allegati  che una volta seguiti o aperti installano nel sistema informatico il virus in grado di  criptare tutti i dati presenti all’interno dello stesso e  nei dispositivi ad esso collegati.

CONSIGLI  PER  ARGINARE  IL  FENOMENO:

–    Non seguire  link o aprire i file “sospetti”
–    Cestinare le e-mail sospette
–    Procedere ad un costante aggiornamento del proprio antivirus
–    Effettuare con scadenza ravvicinata il backup dei dati presenti nel proprio supporto informatico al fine di evitare la perdita degli stessi.

Purtroppo questi semplici consigli sono la miglior difesa contro infezioni di questo tipo. La prevenzione in questi casi è l’unica arma vincente insieme ad una solida struttura di Backup, non essendoci ancora oggi Antivirus in grado di arginare in modo esauriente questo tipo di malware.

Ricordiamo che il Virus, una volta “invitato” nel sistema, è in grado di criptare file di tipo PDF, tutte le estensioni office, immagini, video, musica, archivi compressi, file di Database, archivi Outlook e purtroppo ogni nuova versione aggiunge nuove  tipologie come se le elencate non bastassero a fare danni. Obiettivo è ovviamente colpire gli utenti nel vivo della loro professionalità e/o nel personale, infatti l’attività criminosa si formula nella finale richiesta di riscatto.

Abbiamo per conto di nostri clienti effettuato anche la procedura di pagamento, non certo facile da eseguire per un utente alle prime armi. Tendiamo sempre a scoraggiare il pagamento per non alimentare queste attività criminose, ma nei pochi casi affrontati siamo effettivamente riusciti a recuperare quanto  criptato; non tutti però  hanno avuto esperienze positive in merito e quindi continuiamo a sostenere che è preferibile non cedere al ricatto ma recuperare il maltolto da una copia di backup possibilmente aggiornata.

E’ possibile trovare in rete anche servizi e software di decrittazione, purtroppo la maggior parte di questi è per versioni precedenti del Virus e difficilmente risolvono la situazione, attualmente le nuove versioni dei Ramsonware hanno corretto le leggerezze delle prime con le quali era possibile recuperare la chiave di codifica.

In sostanza il panorama non si presenta molto tranquillo, nonostante siano state chiuse alcune piattaforme di diffusione di massa dei virus Ramsonware, negli ultimi giorni abbiamo assistito a delle vere e proprie ondate di infezioni, nella maggior parte dei casi il virus cerca di farsi strada  come allegato mail spacciandosi per “fattura”, “ordine di materiale” e altri allegati molto più facili da interpretare, ma anche come link per tracciare una spedizione piuttosto che per visionare le fatture Enel… E chissà come si presenterà nella prossima email.

Una nota un po’ più tecnica per chi ha voglia di approfondire la questione:

Windows vista e Windows 7 hanno introdotto l’interessante funzione Volume Shadow Copy che effettua una copia di backup automatica di file e cartelle del computer, che consentono il recupero di file cancellati o corrotti nel sistema. La prima versione del virus Ramsonware non intaccava queste copie di backup, le nuove versioni partono invece con il comando silente di eliminazione di tutte le Shadow Copies presenti prima di procedere alla crittazione dei file. Questo interessante strumento è quindi inutile di fronte al virus ma basta rinominare l’eseguibile in modo da rendere inutile il comando di eliminazione lanciato dal virus. Sul prezioso sito bleepingcomputer è disponibile uno script in grado di rinominarlo per noi essendo un file con privilegi di sistema e pertanto non modificabile con il semplice “rinomina” del menù contestuale. In questo modo le copie shadow non saranno cancellate e quindi recuperabili rinominando di nuovo il file con il suo nome originale. Di seguito il link per scaricare lo Script che usate come sempre a vostro rischio e pericolo (e con privilegi amministrativi). Consigliamo vivamente la lettura di tutto l’articolo prima di effettuare qualsiasi cosa, il sito è in lingua inglese.

Per Windows 8 il discorso è diverso,  volume shadow copy è strettamente legato a ripristino configurazione sistema e non accessibile come “versioni precedenti” di Windows 7. E’ possibili utilizzare un software come “Shadow Explorer” per verificare e recuperare documenti precedenti, ma non si salva dal Virus Cryptolocker.

E’ invece interessante una funzione di Windows 8.1 presente nel  pannello di controllo nella sezione sicurezza. Qui si trova la voce “salva copie di backup dei file con cronologia file” che consente il salvataggio dei file su percorso di rete o unità esterna, è ovvio che in caso di infezione da Cryptolocker, se l’unità esterna è sempre collegata verrà inesorabilmente criptata.

M.I.

 

 

 

Comments

?>