Per verificare il funzionamento di questo malware, di cui abbiamo parlato nel precedente articolo, abbiamo provato a infettare con Cryptolocker una macchina virtuale Windows 7 utilizzata su di un Mac tramite VMWare. Ecco la cronistoria di quello che è successo.

Abbiamo cliccato il link pervenuto via email che ci ha portato su un falso sito Enel che, in teoria, sarebbe dovuto servire per scaricare la bolletta.

1

Notate che l’indirizzo del sito è enelservizio.net che non appartiene a Enel.

Abbiamo inserito il codice di riferimento e abbiamo cliccato Scarica. Subito è apparso l’avviso che vedete qui sotto

2

E noi abbiamo cliccato Apri, come farebbe un utente normale. Windows ha decompresso il file zip e ne ha mostrato il contenuto, che potete vedere qui sotto

3

In teoria il file sarebbe dovuto essere un pdf ma se notate il tipo, viene correttamente indicato come Applicazione perché in realtà è un’applicazione.

Facendo finta di essere l’utente, abbiamo fatto doppio click sul file e in quel momento è successo tutto. Cryptolocker è partito, ha crittato tutti i files di Office e le immagini presenti sulla macchina virtuale ed è apparsa questa schermata

4

Quindi abbiamo cliccato sul link “clicca qui per pagare…” per vedere cosa succedeva ed è stato aperto il browser che ci ha portato a un’indirizzo dove ci è stato richiesto il pagamento di 299 euro da effettuarsi in bitcoin su un indirizzo ovviamente anonimo e non rintracciabile.

5

Ed ecco il risultato dei files che c’erano sulla scrivania della macchina virtuale e che, dopo il “trattamento” hanno perso l’icona e hanno acquisito un suffisso .encrypted. I files .txt non sono stati toccati.

6

Come proteggersi da questa variante

In questo specifico caso via email è arrivato solo un link che non è stato bloccato ma abbiamo fatto due prove importanti.

La prima prova l’abbiamo fatta con il nostro Gatewall attivo e infatti non è successo nulla nel senso che Gatewall ha bloccato fin da subito l’accesso al sito enelservizio.net, individuato come sito di phishing, e ci ha portato automaticamente su Google.

Il secondo tentativo lo abbiamo fatto senza Gatewall attivo e siamo stati infettati subito.

Per ogni tipo di informazione o domanda siamo a disposizione al numero 031.241.987 o via email.