Cerca nel blog

2013/11/01

Il virus che chiede un riscatto per sbloccare i dati della vittima: Cryptolocker

Questo articolo era stato pubblicato inizialmente il 01/11/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Stanno arrivando da varie parti del mondo, Svizzera compresa, segnalazioni di un attacco informatico, denominato Cryptolocker, che ha effetti davvero pesanti: sullo schermo della vittima compare un avviso che lo informa che tutti i suoi dati sono stati cifrati con una password complicatissima e che per avere questa password deve pagare un riscatto (tipicamente qualche centinaio di franchi). Se la vittima non paga entro pochi giorni, la password verrà cancellata e i suoi dati saranno persi per sempre.

La cifratura utilizzata dai criminali che stanno dietro Cryptolocker è sostanzialmente impenetrabile (RSA a 2048 bit), per cui una volta che l'attacco ha avuto luogo è troppo tardi, a meno che la vittima abbia una copia di scorta isolata (backup offline) dei propri dati. Un sistema di backup in rete rischia di essere inutile, perché Cryptolocker è capace in certi casi di raggiungere anche quella copia e cifrarla.

Rintracciare i criminali è per ora impraticabile: hanno usato vari sistemi per impedire di identificare l'origine dell'attacco e la destinazione finale dei riscatti.

L'unico rimedio è la prevenzione. I principali antivirus riconoscono e bloccano Cryptolocker, e c'è anche uno strumento gratuito, CryptoPrevent, che imposta Windows in modo da renderlo meno vulnerabile a questo specifico attacco. Va notato, infatti, che questo malware agisce soltanto su sistemi Windows: gli utenti Mac e Linux sono immuni.

La prevenzione passa anche dall'abitudine a comportamenti prudenti da parte dell'utente: Cryptolocker entra nei sistemi informatici usando il metodo classico dell'allegato a una mail. La mail è confezionata in modo da provenire apparentemente da un indirizzo familiare o credibile (un ente amministrativo oppure una filiale di un'azienda, per esempio) e l'allegato si spaccia spesso per un resoconto contabile, una fattura o una richiesta di pagamento urgente, in modo da indurre la vittima ad aprirlo. Ma la mail è spesso sgrammaticata o in inglese, e questo è un indizio che deve mettere sul chi vive.

In sintesi, per difendersi contro questo genere di attacchi conviene abituarsi a fare automaticamente questi controlli su ogni mail che contiene un allegato:

la mail arriva davvero da un indirizzo conosciuto o è solo un mittente che somiglia a uno conosciuto?

la mail era attesa o è arrivata a sorpresa?

lingua, la grammatica e l'ortografia sono quelle che ci si aspetta dal mittente?

l'antivirus aggiornato dice che l'allegato è sicuro?

Se una o più di queste domande ha risposta negativa, è il caso di fermarsi e non aprire l'allegato. Una guida dettagliatissima al funzionamento di Cryptolocker è disponibile presso Bleepingcomputer.com.

LINK:
http://articles.timesofindia.indiatimes.com/2013-10-30/how-to/43526293_1_windows-xp-malware-security-expert

http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/

Nessun commento: