Sommario degli argomenti
- CryptoLocker, che virus informatico è?
- Come si diffonde il virus CryptoLocker
- Cosa fa al computer il CryptoLocker Ransomware
- Infezione Cryptolocker, cosa fare se siete stati colpiti
- Cosa fare se avete aperto un’e-mail CryptoLocker
- Come prevenire il Cryptolocker?
- Perché il mio antivirus non ha fermato l’attacco CryptoLocker?
- Come rimuovere CryptoLocker
Apriamo questo importante contenuto del nostro blog dedicando tutta la nostra attenzione all’analisi di uno dei malware più letali del panorama informatico mondiale, almeno fino ad oggi.
CryptoLocker è un ransomware che viene classificato come encryption.
Si tratta di un cryptovirus che colpisce principalmente il sistema operativo Windows, sfruttandone una peculiarità.
Tra le impostazioni di default del sistema operativo infatti viene previsto che il pc non mostri le estensioni dei file: per spiegarci meglio vi mostreremo un esempio pratico. Un file chiamato documento.pdf.exe verrà mostrato da Windows semplicemente come documento.pdf.
Il formato .exe o qualsiasi altro non viene mostrato dal sistema operativo, motivo per il quale la vittima spesso finisce nella trappola del ransomware.
Il ransomware CryptoLocker nasce per la prima volta nell’autunno 2013 ma nel corso del tempo viene implementato con nuove funzioni fino al momento di massima pericolosità nel 2017.
Il modo classico di diffusione del CryptoLocker avviene tramite l’apertura di un allegato email.
Per far sì che l’utente clicchi e apra il contenuto, la provenienza di queste missive viene spesso simulata affinché l’utente medio sia fortemente convinto di aprire il contenuto di un mittente attendibile e possa quindi aprire l’allegato con la massima tranquillità per capire di cosa si tratta.
L’allegato che contiene il payload del ransomware solitamente è un file .zip o un .exe: una volta aperto è impossibile arrestare l’installazione del ransomware.
I mittenti ingannevoli che inviano il file che scatena l’infezione CryptoLoker sono solitamente: BNL, Nexi, Unicredit, PostePay, Poste Italiane.
Ma non è tutto, la diffusione di CryptoLocker secondo le ultime indiscrezioni avverrebbe anche tramite botnet.
Possiamo quindi affermare che il CryptoLocker è uno dei ransomware più pericolosi della storia dell’informatica.
Cosa fa al computer il CryptoLocker Ransomware
Una volta installato sul pc, il Cryptolocker effettua una chiamata di connessione ad un server remoto che gli fornirà una chiave di cifratura RSA a 2048 bit. Ottenuta la chiave il ransomware inizia a criptare file di documenti, immagini, video, progetti rendendoli inaccessibili.
Questo significa che CryptoLocker è terribile poiché:
cifra tutti i dati e i file nel computer della vittima e chiede il pagamento di un riscatto per ripristinarli.
Ma non è finita, il ransomware si diffonde anche su tutti i computer Windows presenti in rete se non viene bloccato per tempo.
Quando i file vengono cifrati non si riescono ad aprire in alcun modo e sullo schermo del dispositivo appare un messaggio: viene presentata la richiesta di riscatto per poter riavere i file in chiaro. La richiesta di riscatto ha un termine di tempo per poter essere esaudita (parliamo di un centinaio d’ore circa) e deve essere pagata in Bitcoin o altre crypto valute altrimenti la chiave privata utilizzata per la cifratura verrà eliminata dai server e sarà impossibile decriptare i file.
Recuperare i file attaccati da un CryptoLocker oggi è possibile.
Dopo anni di lotta ransomware, oggi esiste un metodo di decriptazione in grado di rendere i vostri file leggibili, nuovamente.
Per decriptare i file attaccati da un Cryptolocker è sempre fortemente consigliato ad affidarsi ad un’azienda di sicurezza informatica.
Non improvvisatemi tecnici informatici e intraprendete questa strada in solitaria: potreste causare più danni del virus stesso.
Quello che vi consigliamo invece è cercare di circoscrivere l’infezione in azienda il più possibile.
La prima cosa da fare se siete stati infettati da Cryptolocker è cercare di spegnere il pc ed isolarlo dal resto della rete:
questo sistema vi servirà solamente a cercare di limitare il danno.
Una soluzione adottata da alcuni e, dai noi fortemente sconsigliata, è quella di pagare il riscatto. Un buon esperto in sicurezza informatica professionista vi suggerirà sempre di prendere in considerazione diversi fattori prima di pagare un ransomware o meno.
Per quale motivo? Non c’è alcuna garanzia che effettivamente venga rilasciata la chiave per poter decriptare file cryptolocker e il materiale che vi hanno sottratto. Inoltre, pagando il riscatto si continua ad alimentare questo sistema criminoso.
Come prevenire il Cryptolocker?
I backup dei file del proprio lavoro assumono in questi casi un’importanza fondamentale. Mai come in queste situazioni le aziende prendono coscienza di quanto sia importante avere dei backup programmati e correttamente strutturati. Se si hanno a disposizione dei backup sani il problema è risolto.
Se non si hanno a disposizione copie di backup si possono tentare ma in tempi rapidi dopo l’infezione dei recuperi dalla copia shadow di Windows.
Di questo malware vengono generate continuamente nuove versioni: è una vera corsa contro il tempo per le case produttrici di antivirus, le quali devono erogare aggiornamenti continui e tenere sotto controllo tutte le Ransomware News.
Spesso gli aggiornamenti arrivano tardi.
Per questo motivo, da solo, un antivirus non dà garanzia di protezione completa all’azienda.
Affinché un’azienda possa considerarsi al sicuro da attacchi ransomware è consigliabile affidarsi alla protezione dei servizi gestiti di cybersecurity.
Ti sei accorto di essere stato attaccato dal Virus Cryptolocker e non sai cosa fare?
Il crypto virus si è installato sul tuo computer e ha definitivamente sottratto tutti i file in esso contenuti.
Una volta realizzato il tuo problema devi pensare immediatamente a recuperare i file danneggiati da CryptoLocker.
La risposta alla tua domanda è particolarmente dolorosa da accettare ma purtroppo non hai molta scelta.
In alcuni casi non è possibile recuperare i file criptati dal virus.
Anche se oggi esistono dei tool di decriptazione per i file rubati dal CryptoLocker non è detto che siano efficaci contro l’infezione che ha colpito la tua azienda.
Di fronte a te hai due scelte da affrontare:
- pagare il riscatto crypto virus e sperare con tutto te stesso che l’hacker ti restituisca i file (cosa rara e improbabile)
- prendere coscienza del problema e affrontarne le conseguenze: bonificare il computer e ripristinare il backup dati più recente che possiedi.
Rimuovere il ransomware
Non esistono software per decifrare la chiave RSA con la quale i tuoi file sono stati criptati. Si può fare un tentativo, ma le possibilità di riuscita sono davvero poche.
Ad ogni modo, per rimuovere il Cryptolocker da un computer ti consigliamo di rivolgerti ad un professionista cyber security.
Come prevenire il Cryptolocker
Il primo sistema di protezione è l’educazione dell’utente finale:
i dipendenti di un’azienda devono prestare maggiore attenzione alle email, insospettirsi e preferibilmente chiedere consiglio prima di aprire un’email sospetta. Ma per proteggere un’intera azienda non basta il buon senso, una piccola distrazione può capitare a chiunque. Per questo ogni azienda dovrebbe essere dotata di un sistema di sicurezza informatica interno.
Ogni imprenditore dovrebbe prendere coscienza del fatto che un’infezione ransomware comporta la perdita completa o parziale di anni di lavoro: documenti, file, e persino interi progetti.
Nella migliore delle ipotesi, un ripristino di file sani porterebbe via tempo e quindi denaro per coprire tutte le spese per il recupero.
Contro il Cryptolocker, azienda di informatica certificata
Per proteggersi efficacemente dai CryptoLocker 2019 devi rivolgerti ad un azienda specializzata in cybersecurity.
Abbiamo a che fare con casi di attacco CryptoLocker quotidianamente: la soluzione migliore è lasciare che se ne occupi qualcuno di veramente competente.
In linea di massima, le aziende che sono protette da protezione perimetrale (network security) bloccano l’infezione del crypto virus alla radice, prima che arrivi nella rete aziendale. La sicurezza informatica è l’unica possibile soluzione per non avere problemi con il CryptoLocker e i suoi simili.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.
