Nemesi s.r.l. Fornitore globale di servizi informatici Via Castellana, 88/D - 30030 Martellago (VE) P.IVA/Cod. Fisc. 03277320275 tel. 041.5402230 r.a - fax 041.5403160 www.nemesiweb.net - [email protected] . Cryptolocker: come funziona e come difendersi Come funziona CryptoLocker è un virus di tipo “ransomware” entrato in circolazione a Settembre 2013. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo. Un ransomware è un tipo di malware che quando entra in azione, inizia a crittografare i file dell’utente che diventano così inutilizzabili e impossibili da decriptare, se non disponendo della chiave di decriptazione. I file che vengono criptati sono quelli che tipicamente contengono i dati specifici dell’utente, e possono essere diversi a seconda della variante di Cryptolocker: file di Word (.doc - .docx) file di Excel (.xls – xlsx) file di immagine (.jpg) file di Acrobat (.PDF) archivi utilizzati dai gestionali (database SQL, BTR …) altre estensioni variabili a seconda della versione di Cryptolocker Quando ormai il danno è avvenuto, l’unico modo di ottenere la chiave di decriptazione è pagare un riscatto (ranson in Inglese). Purtroppo, non c’è modo di fermare il virus o di provare a decriptare i file usando programmi freeware o antivirus, e non c’è alcuna garanzia che anche pagando si riesca a recuperare i propri dati. Tutti i tentativi di individuare gli autori di CryptoLocker sono vani, perché anche per chi sceglie di pagare i sistemi proposti sono BitCoin e (meno frequentemente) MoneyPack, che per definizione hanno transazioni sicure ma non rintracciabili, Il veicolo con cui il virus raggiunge il PC è la posta elettronica e l’attivazione è sempre da parte dell’utente che clicca sull’allegato o su un link contenuto nella mail. I messaggi che veicola il virus possono essere di vario tipo: indicazioni su presunte spedizioni da corrieri noti (tipicamente SDA Expresss courier) un messaggio contenente un link relativo ad un acquisto effettuato on line una mail con un allegato con un nome molto verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP messaggi che sembrano provenire da uno studio notarile o dall’agenzia delle Entrate Cliccando sul link oppure aprendo l'allegato, il virus immediatamente cripta il contenuto dei dischi fissi del computer e anche delle eventuali condivisioni in rete, quindi si trasmette agli altri PC, al server e anche a dispositivi di archiviazione come NAS e dispositivi USB connessi alla rete. Nemesi s.r.l. Fornitore globale di servizi informatici Via Castellana, 88/D - 30030 Martellago (VE) P.IVA/Cod. Fisc. 03277320275 tel. 041.5402230 r.a - fax 041.5403160 www.nemesiweb.net - [email protected] . Come difendersi La prima cosa da fare è spegnere il PC e scollegarlo dal resto della rete, cioè staccare fisicamente il cavo perché CryptoLocker si diffonde sia attraverso le directory condivise, le unità mappate che, nelle ultime versioni, percorsi UNC (del tipo \\nome_server\condivisione) che inizialmente non venivano coinvolti. Non è invece una buona idea lanciare la scansione antivirus senza aver prima spento il PC, perché anche se il virus verrà rimosso, i file criptati resteranno tali. fare attenzione alle mail in arrivo da mittenti sconosciuti ma anche da mittenti noti, evitando di cliccare sui link contenuti nel corpo della mail o di aprire gli allegati, e cancellando immediatamente il messaggio (Se utilizzate Outlook, potete usare la combinazione di tasti MAIUSCOLO+CANC che la elimina definitivamente sia dal pc locale che dal server) eseguire i backup dei propri dati: vedi paragrafo specifico mantenere sempre aggiornato il sistema operativo del proprio computer: il Software Malevolo muta continuamente e viene costantemente aggiornato per sfruttare le vulnerabilità del software di sistema (a questo proposito vogliamo ricordare che Windows XP e Windows 2003 Server non sono più supportati da Microsoft, e quindi per questi sistemi Operativi non vengono più rilasciati aggiornamenti) Suggerimenti per identificare una mail malevola Il mittente può essere noto (ad esempio “SDA Express Courier” o “Enel Servizio Elettrico, “Agenzia delle entrate” o anche un contatto della propria rubrica) o sconosciuto, con oggetto del tipo “Vs. cognome pacchi non consegnati” o “Vs. cognome bolletta per la fornitura di energia elettrica” Osservando con più attenzione, si notano testi sgrammaticati e/o il codice fiscale errato Attivando il riquadro di lettura, si nota che l’indirizzo email del mittente non corrisponde alla descrizione del mittente stesso ad esempio Enel <[email protected]> Comunicate queste informazioni anche ai vostri collaboratori. L’ antivirus e il firewall non sono in grado di intercettare la minaccia perché la mail che la veicola risponde agli standard di affidabilità. Nemesi s.r.l. Fornitore globale di servizi informatici Via Castellana, 88/D - 30030 Martellago (VE) P.IVA/Cod. Fisc. 03277320275 tel. 041.5402230 r.a - fax 041.5403160 www.nemesiweb.net - [email protected] . Il backup dei dati Esiste un solo metodo sicuro per recuperare i file criptati: ripristinarli dal proprio salvataggio. A questo proposito, vogliamo sensibilizzarvi sull’importanza del backup e sulle buone norme relative alla sua gestione. E’ infatti necessario: disporre di un buon software di backup, che consenta di: o pianificarne l’esecuzione automatica stabilendo date e orari o produrre e inviare un rapporto con l’esito di ogni singola esecuzione scegliere attentamente quali dati salvare controllare quotidianamente l’esito del backup includere i nuovi documenti che vengono mano a mano creati, nei percorsi compresi nel salvataggio (di norma il desktop del PC e tutti i percorsi locali (c: / d:) non sono compresi nei percorsi di backup) pianificare prove di ripristino dei dati avere due livelli di backup, su supporti rimovibili e su un Nas sostituire i supporti esterni (cassette e dispositivi USB) almeno una volta all’anno