Guida per difendersi dal virus “CRYPTOLOCKER”

venerdì 27 Gennaio, 2017

Un numero sempre più crescente di aziende negli ultimi anni si sono trovate a dover affrontare, senza una adeguata preparazione, la minaccia dei virus denominati CRYPTOLOCKER.

Questa tipologia di ransomware (letteralmente software creato per estorcere denaro) è difficile, spesso impossibile da sradicare e, di fatto, nella migliore delle ipotesi, vi impedirà di utilizzare i vostri computer e di accedere ai vostri dati (documenti, fatture, progetti, ecc.) per diverse ore.

Il virus, in genere, si diffonde tramite allegati di e-mail a prima vista legittimi provenienti da aziende ed organismi dotati di una forte autorevolezza: SDA, Enel, Eni, false PEC di Aruba (che, risultando in apparenza certificate, possono indurre facilmente l’utente all’errore) o, ancora, di Equitalia (evento che, in genere, provoca un tale stato di apprensione nell’utente da indurlo spesso a ridurre la soglia di attenzione e quindi ad aprire l’allegato). In altre occasioni il malintenzionato utilizza altre strategie non dissimili dalla precedente, ad esempio l’invio di una falsa fattura da pagare in tempi rapidissimi o l’email di conferma dell’acquisto di beni per svariate migliaia di euro (operazione evidentemente mai effettuata dall’utente).

In sintesi quasi tutte le e-mail tramite le quali si propaga il virus contengono una “minaccia” per l’utente e quest’ultimo è indotto ad aprire i loro allegati proprio per comprendere appieno se essa è reale o meno. Di seguito un esempio:

Come si può notare l’e-mail è ben scritta (perlomeno rispetto alle e-mail di phising che tentano, ancora oggi, di carpire i dati bancari di un utente), mette in agitazione chi la riceve, convinto che ci sia un errore, che non debba in nessun modo pagare la cartella richiesta. La preoccupazione favorisce un’azione da parte dell’utente spaventato: l’apertura dell’allegato! Allegato che è un “sicuro” file con estensione .zip (al cui interno è presente però un file .cab che contiene il virus ed è eseguibile su un pc Windows senza che sia necessario associarlo ad uno specifico programma).

Un altro esempio: una finta bolletta di Enel Energia con allegato file .xml. Si noti, anche in questo caso, come il testo contenuto nell’e-mail sembri assolutamente coerente. Anche in questo caso il meccanismo che porta all’apertura dell’allegato è lo stesso: l’utente è convinto che vi sia un errore, che non debba pagare alcuna bolletta, neppure, magari, è un cliente di Enel Energia, e quindi, preoccupato, abbassa le difese e apre l’allegato infetto.

Un’altra e-mail che può trarre in inganno, il mittente sembra essere Register.it, una importante azienda di hosting:

Una volta che si è aperto l’allegato il disastro è imminente, il virus inizia a fare il suo “sporco lavoro” e, in pochissimo tempo, il computer non sarà più utilizzabile. Tutti i file di dati contenuti nel computer (foto, pdf, documenti Word, Excel, ecc.) vengono crittografati. In sostanza vengono protetti da una “password” che non vi è dato modo di conoscere.

Allo stesso modo vengono crittografati tutti i file contenuti in hard disk e chiavette usb collegate al computer.

Infine, l’evento più catastrofico: tutti i computer collegati alla rete della postazione di lavoro infetta a loro volta saranno contagiati dal virus ivi inclusi gli hard disk di backup di rete e ogni altro dispositivo che contiene dei dati.

È importante sottolineare che:

• Spesso i file crittografati dal virus vengono parzialmente riscritti con una chiave di accesso univoca diversa per ogni computer che solo i creatori del virus sono in grado di conoscere e tali file non possono, ovviamente, più essere modificati.
• I file crittografati non generano altre infezioni, si limitano a rimanere inerti nel computer e possono essere tranquillamente scambiati tra utenti.
• Ad ogni riavvio del pc il virus si riattiva e riparte con la sua opera distruttiva, pertanto qualora riteniate di essere stati infettati si consiglia di staccare immediatamente il cavo di rete (spegnere il router e/o disattivare la connessione wi-fi) e di scollegare fisicamente ogni dispositivo di memorizzazione del pc (chiavetta usb o hard disk esterno) e di spegnerlo nel più breve tempo possibile contattando Helinext S.r.l. con urgenza.
• Allo stesso modo, in presenza di infezione, è indispensabile spegnere immediatamente anche gli altri pc di ogni ufficio in quanto il virus potrebbe essere in viaggio nella rete e non averli ancora contagiati.

In genere, a poche ore di distanza dal contagio, vi giungerà una e-mail con una richiesta di riscatto: i malintenzionati saranno disposti a fornirvi le chiavi di accesso per “sbloccare” i vostri file in cambio dei vostri soldi, molti soldi. Ad un nostro cliente che si è trovato ad affrontare il problema, ad esempio, Cryptolocker ha contagiato tre pc e gli sono stati chiesti 6.000 Euro di riscatto, 2.000 Euro a pc. Tenete in considerazione che, quasi sempre, l’entità del riscatto è proporzionale alla quantità di dati crittografati.

A questo punto avrete poco tempo, molto poco tempo, per soddisfare le richieste dei questi delinquenti, in genere dalle 12 alle 24 ore. E questo elemento, psicologicamente, vi può portare ad agire in maniera sconsiderata. In ogni caso è bene non rispondere alla richiesta di riscatto in quanto l’unico risultato che si può ottenere è quello di vedersi ridurre il tempo a disposizione o aumentare il valore dello stesso! Non cercate di trattare o di impietosire coloro che vi hanno inviato il virus perché operano secondo procedure automatizzate: ad una vostra risposta corrisponde un’azione predefinita, senza alcun intervento da parte di chi la riceve, e cioè l’invio di un messaggio che vi informa in maniera perentoria che il tempo è a disposizione è drasticamente diminuito e il costo della chiave di accesso è aumentato!

Di primo acchito, se i dati sono di fondamentale importanza per la vostra azienda potreste essere portati a pagare senza preoccuparvi delle conseguenze. Il punto è che non è assolutamente detto che funzioni:

• In primo luogo i malintenzionati accettano solo pagamenti in Bitcoin (una moneta elettronica che è quasi impossibile tracciare). Dovrete pertanto prima convertire rapidamente degli euro in quella valuta (ricordiamo che avete poco tempo per soddisfare le richieste dei malintenzionati). Vi assicuriamo che non si tratta di una operazione semplice e alla portata di tutti, soprattutto se siete stati colpiti dal virus – succede – nei pressi del fine settimana, inoltre dovrete spendere altro denaro per effettuare l’operazione di cambio.
• Non è assolutamente detto che poi gli autori del virus rispettino i patti, potete pagare e, per svariati motivi, può non esservi inviata la chiave di accesso per sbloccare i vostri file.
• Infine è evidente che più persone pagano (il virus colpisce indistintamente aziende e privati cittadini) più queste associazioni a delinquere proliferano e più si diffondono i virus.

A questo punto vi starete chiedendo allora come sia possibile risolvere il problema una volta per tutte! La risposta è semplice, non è detto che si possa…

Se è vero che esistono dei programmi, testati più volte da Helinext S.r.l., che effettuano operazioni denominate brute force (forza bruta), provano cioè a decifrare la chiave di accesso che vi impedisce di utilizzare i vostri file tramite la generazione di milioni di combinazioni di chiavi di accesso, è altrettanto vero che molto raramente risultano efficaci, a meno di non continuare a tentare per due, tre, cinque anni le operazioni di decifratura. Questa, purtroppo, è la verità che poche aziende che si occupano di sicurezza informatica sono disposte ad affermare!

Continuare l’operazione oltre i 3 o 4 giorni non ha quindi molto senso. C’è da dire che però le aziende che sono colpite da questo catastrofico evento sono molte (si stima che la sola ultima variante di Cryptlocker abbia fatto guadagnare ai suoi creatori svariati milioni di Euro in riscatti!) e quindi la pressione sui produttori di Antivirus è molto forte. Questi ultimi pertanto si applicano come non mai nel tentativo di decifrare l’algoritmo del virus e, molto spesso, dopo qualche tempo, ci riescono.
Pertanto se non subito, magari a distanza di qualche settimana o mese si potrà ritornare in possesso dei propri dati e quindi, a maggior ragione, è sconsigliabile pagare il riscatto…

In ogni caso rivolgetevi ad Helinext S.r.l. o ad altra azienda di sicurezza informatica di vostra fiducia prima di effettuare qualsiasi operazione se siete stati colpiti dal virus!

LE SOLUZIONI CONTRO CRYPTOLOCKER

Come abbiamo visto è molto facile venire a contatto con il virus, basta aprire l’allegato di una e-mail che, a prima vista, sembra autentica e può indurre in errore anche il più scaltro dei professionisti. L’allegato può essere di tipo eseguibile (.exe) o di altro formato, ad esempio cab, cmd, bat, scr, jar, ws, vbs, dotm, xlam, ecc., oppure può essere contenuto dentro un file compresso di tipo .zip e .rar o, ancora, può essere dotato di doppia estensione (ad esempio potrebbe esservi inviato un file denominato leggimi.pdf.exe, solo l’ultima estensione definisce il tipo di file e quindi si tratta di un file eseguibile e non di un pdf).

Ovviamente la p rima regola fondamentale per evitare il contagio è quella di non aprire allegati sospetti, posto che, molto spesso, il problema è proprio stabilire se lo sono. Nel dubbio, in ogni caso, non apriteli!

Pertanto una soluzione pratica, ma molto rigida, che potrebbe risolvere il problema alla radice è quello di impedire che le e-mail contenenti allegati giungano agli account dei vostri dipendenti. Per la trasmissione di file la vostra organizzazione potrebbe utilizzare il cloud, servizi quali Dropbox, Box, Google Drive potrebbero fare al vostro caso. Si tratta però di una soluzione di difficile applicazione anche se, certamente, non impossibile.

Un’ulteriore soluzione può essere quella di attivare la procedura di white / black list all’interno del vostro server di posta. In pratica ogniqualvolta la vostra organizzazione riceve una e-mail vi sarà inviato un messaggio che la introduce chiedendovi se il mittente è autorizzato a scrivervi. In questo modo solo gli utenti dotati di autorizzazione potranno poi scrivervi direttamente. Anche in questo caso si tratta di una soluzione attuabile ma pur sempre di complicata realizzazione.

Se ritenete possa essere utile attivare una delle due soluzioni esposte contattate subito un consulente del reparto sistemi di Helinext S.r.l.

Veniamo poi alla questione antivirus, esso purtroppo molto raramente è in grado di rilevare e contenere il potenziale danno: trattandosi di e-mail e allegati apparentemente legittimi il virus non viene quasi mai rilevato, salvo esso sia dotato di estensione .exe, evento sempre più raro.

Questo non significa, in ogni caso, che non siate tenuti ad rinnovare costantemente i vostri antivirus; esistono, infatti, numerose altre minacce oltre a Cryptolocker. Pertanto vi esortiamo comunque a verificare che il vostro Antivirus sia aggiornato all’ultima versione e a contattare Helinext S.r.l. nel caso non lo fosse.

Cercando in rete potreste imbattervi in annunci pubblicitari di software che promettono di risolvere il problema: alcune volte possono riuscirci ma ad un costo elevatissimo, spesso addirittura superiore a quello per il riscatto. Mediamente, però, non ci riescono, anche perché l’evoluzione del virus è continua e non esiste software antivirale in grado di risolvere il problema in maniera puntuale. E, magari, quando i software si sono adeguati poi viene pubblicata in rete una soluzione a costo zero…

L’UNICA SOLUZIONE EFFICACE È LA PREVENZIONE!

Vi starete chiedendo a questo punto se esista una soluzione efficace per risolvere il problema una volta per tutte. Una sicuramente vi è stata già fornita: fate estrema attenzione quando ricevete una e-mail dotata di allegati, al limite, nel dubbio, contattate Helinext S.r.l. prima di aprirla.

Ciò detto, l’unica soluzione efficace ed efficiente per debellare Cryptolocker è quella di disporre di un eccellente sistema di backup che non sia a diretto contatto con la rete e che quindi non possa essere infettato dal virus.

L’implementazione di un sistema di backup dotato di queste caratteristiche garantisce il 100% del successo nel recupero dei dati e, se è stata attivata una procedura veloce di ripristino, un fermo macchine brevissimo.

Nel caso in cui siate state colpiti da Cryptolocker il reparto sistemistico di Helinext S.r.l. può sicuramente fornirvi un’ottima assistenza ma non siamo in grado di assicurarvi che risolveremo il problema, nessuna azienda, purtroppo, può farlo!

Se però non siete ancora dotati di un nostro sistema di Backup intelligente allora le cose possono cambiare radicalmente!
Non possiamo certamente assicurarvi l’immunità all’infezione da Cryptolocker, ma siamo in grado di affermare con assoluta certezza di poter ripristinare i vostri dati e permettervi di tornare a lavorare con i vostri computer in tempi rapidissimi.

Per informazioni sui nostri servizi di consulenza sistemistica, i servizi di backup e l’assistenza per la gestione di Cryptolocker contattate un nostro consulente commerciale allo 041.5084911.

Data: 27 Gennaio 2017
Categoria: News
Autore: Helinext
Letture articolo: 143