Si tratta di quello che in gergo viene definito ransomware e cioè un software malevolo che agisce crittografando tutti i vostri dati con una chiave a voi sconosciuta e poi chiedendovi un riscatto per rivelarvi la chiave al fine di rendere ancora leggibili i vostri files.
Come si prende?
Cliccando su un allegato ricevuto via email oppure su un link, sempre ricevuto via email, che scarica e fa partire un file .exe che crittografa tutti i files.
Funziona anche su Mac OS X o Linux?
No, funziona solo su Windows. Se anche lo scaricaste da OS X o da Linux non succederebbe nulla, a meno che non lo facciate da una macchina virtuale Parallels o VMWare o Virtualbox con installato Windows.
Come faccio a sapere se sono stato colpito?
Appare una finestra che ve lo dice chiaramente e vi da un tempo massimo per pagare il riscatto, dopodiché i vostri files risulteranno irrecuperabili. I files verranno rinominati in .ecc o .encrypt.
Cosa posso fare se sono stato colpito?
Prima di tutto scollegate immediatamente, appena vi accorgete, il computer dalla rete semplicemente staccando il cavo di rete e spegnetelo. Cryptolocker inizia a crittografare i files in ordine alfabetico e colpisce i files di Office, Open Office e AutoCAD quindi, appena vi accorgete, spegnete il computer per impedire che l’operazione di crittografia continui e limitare i danni.
Successivamente potete o pagare il riscatto per avere indietro i files oppure ripristinarli da un backup. Non ci sono altre soluzioni affidabili. In ogni caso è fondamentale staccare immediatamente il computer colpito dalla rete perché Cryptolocker si espande a macchia d’olio e cerca di infettare tutte le unità di rete che trova in giro e anche eventuali copie di backup conservate in chiaro su dischi USB.
Come faccio ad avere un backup a prova di Criptolocker?
Il nostro BackData è basato su Linux, non viene montato come unità di rete dai PC Windows ma è lui che va a prelevare i files dai singoli computer o dai server. Per tali caratteristiche risulta del tutto invisibile a Criptolocker. Un disco USB o una share di Windows condivisa in rete viene attaccata tranquillamente da Cryptolocker.
Cosa posso fare per prevenire l’attacco?
Prima di tutto non aprire assolutamente allegati sospetti via email o cliccare link che vi invitano a scaricare documenti strani.
In secondo luogo la cosa migliore sarebbe avere un server di posta interno che non faccia passare gli allegati .exe (eseguibili di Windows) in modo che questi vengano bloccati ancora prima di arrivare a voi. Un esempio di questo server è quello che noi stessi e moltissimi altri clienti usano, ed è basato su Kerio Connect in una configurazione da noi personalizzata. Nel caso specifico del cliente, a lui è arrivato un semplice link che quindi non è stato bloccato, ma di Cryptolocker esistono parecchie varianti, di cui alcune mandano il falso .pdf via email.
Il nostro Gatewall inoltre, proteggendo tutta la rete e proteggendo anche la navigazione, avrebbe impedito lo scaricamento dell’eseguibile che, nel caso specifico di un nostro cliente, ha provocato l’infezione.
Riportiamo qui di seguito un’immagine dell’email che ha ricevuto il nostro cliente. Il mittente risultava “Enel Servizio Elettrico” ma andando a controllare l’email di invio, questa risultava essere “cliente@businessletterpro.com” ovviamente un dominio che con Enel non ha nulla a che fare.
Il problema è che l’email del mittente non viene mostrata dai programmi di posta elettronica, così l’utente, se non controlla specificatamente, difficilmente si accorge, a meno che non verifiche anche accuratamente il corpo dell’email e noti alcune incongruenze.
1 Pingback