ATTENZIONE! CryptoLocker!
Negli ultimi mesi si è diffuso il virus Crypto Locker con molte varianti, fra cui la più dannosa “CBT_Locker”.
Attualmente CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime o a volte anche da contatti della propria rubrica e conosciuti.
Allegata alla mail, solitamente c’è un file zip contenente un file eseguibile con icona e una estensione pdf. I recenti sistemi Windows, infatti, non mostrano di default le estensioni dei file, per cui un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile.
Al primo avvio, il software si installa con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente si connette ad un server di comando e controllo. Una volta connesso con il server, questo genera una chiave di criptazione RSA a 2048 bit e manda la chiave privata al computer infetto.
Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con questa chiave privata. Il processo cifra solo file con alcune estensioni, tra queste: Word, Excel, PowerPoint, Open Office, PDF, immagini e file di Autocad.
Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento con un voucher anonimo e prepagato per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Anche se CryptoLocker venisse rimosso subito, i file rimarrebbero criptati.
Nonostante le suite di sicurezza siano progettate per trovare tali minacce, può capitare che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus viene distribuita.
Dracma Service consiglia quindi di prendere misure preventive come usare programmi che impediscano che CryptoLocker sia lanciato (antivirus evoluti con protezione proattiva), di dotarsi di sistemi di backup anche di rete, senza mappare le condivisioni di un eventuale NAS e di non aprire allegati se non sicuri al 100% della provenienza e in alcun caso se è visibile l’estensione .pdf o .doc o .jpg. Come detto non vengono visualizzate di default.
Senza backup, attualmente, nella maggior parte dei casi non è possibile fare nulla per recuperare i dati. A causa della lunghezza della chiave utilizzata, infatti, si considera praticamente inviolabile con un attacco a forza bruta per ottenere la chiave richiesta per la decifratura dei file. Basti pensare che per la sicurezza delle transizioni (es. pagamenti in banca) vengono utilizzate chiavi private a 256 bit, considerate già esse praticamente inviolabili.