Cryptolocker a Modena.

E’ più pericoloso aprire la porta ad uno sconosciuto o aprire una mail di dubbia provenienza?

Quando ero piccolo, avrò avuto circa 10 anni, i miei genitori ed i nonni mi dicevano in continuazione di non aprire agli sconosciuti. A distanza di 30 anni a questa sacro-santa raccomandazione andrebbe aggiunta anche di non aprire le mail di ignota provenienza? Aprire una mail tendenzialmente pericolosa potrebbe esporci ad rischio simile considerato che documenti e dati personali potrebbero essere persi irrimediabilmente o trafugati ed utilizzati per scopi illeciti (uso fraudolento di dati personali, di numeri di carta di credito, ecc.)?

Tipologia Virus

Cryptolocker è un virus che cripta tutti i dati del disco fisso e richiede un riscatto per ottenere la relativa chiave di decodifica. L’algoritmo di codifica utilizzato, una cifratura asimmetrica RSA a 2048 o 4096 bit, rende praticamente impossibile il recupero dei file originali in mancanza della chiave di sblocco.

Il risultato di tale codifica è che l’utente non è più in grado di aprire alcun documento, immagine o video, visualizzando ad ogni tentativo di apertura, un messaggio con la richiesta di riscatto.

Seguendo le istruzioni e pagando il riscatto richiesto in bitcoin si otterrà via mail la chiave necessaria alla decodifica dei files.

Anticipo già da qui che consiglio di non pagate nessun riscatto perché questa azione oltre ad incoraggiare questa tipologia di criminalità informatica, non darà alcuna garanzia di riottenere i propri file.

La pericolosità del virus sta proprio nella velocità di codifica dei files del pc infettato, e nella capacità di propagare i suoi effetti dannosi anche ai pc collocati nella stessa rete; immaginate una tale infezione che si propaga velocemente in un’azienda con 60 pc: il risultato è di un fermo di 3/4 giorni di lavoro per ripristinare le macchine, i server ed i dati dalle copie di backup… se ci sono!!!

Come si viene infettati

Tipicamente l’infezione arriva mediante una comune e apparentemente innocua mail inviata da un corriere, da un gestore di telefonia, da una multi-utility, ecc. con informazioni riguardanti il vostro contratto. Ovviamente non è il corriere, non è il gestore di telefonia, ecc. ma sono solo un impostore che vuole farvi aprire l’allegato infetto e contagiare il vostro computer e, se siamo in un contesto aziendale, anche tutti i pc connessi in rete che risultano vulnerabili a tale infezione.

Le conseguenze di una infezione da Cryptolocker sono devastanti e lo sono ancora di più se non si è in possesso di una copia di backup dei dati.

Cryptolocker a Modena

Cryptolocker ha mietuto le sue vittime anche Modena: da fonti ufficiali pervengono notizie che sono state numerose le segnalazioni alla Polizia Postale riguardanti appunto questa tipologia di virus.

Ci siamo occupati più volte a Modena, con esito positivo, di recuperare i file criptati con Cryptolocker, ovviamente senza pagare alcun riscatto, ma eseguendo il carving dei file.

Soluzione

Se siete stati infettati dal virus, o ne avete il sospetto, vi consiglio di spegnere immediatamente il vostro computer al fine di stoppare l’inesorabile procedura di codifica dei vostri documenti e di rivolgervi ad centro assistenza di vostra fiducia per tentare il recupero dei file. Consiglio inoltre di far eseguire tale operazione a personale specializzato che operi su una copia forense del disco, l’unica che consente di ottenere una copia fedele del supporto originale, spazio non allocato compreso che potrebbe contenere al suo interno i file originali intatti.

Conclusioni

Il mio personale parere è di non pagare alcun riscatto, perché come già anticipato, con questa azione incoraggerete questi "signori" a perpetrare nelle loro azioni criminose.

Se non è stato già fatto, consiglio di eseguire immediatamente un backup completo e di conservarlo in un luogo sicuro e di studiare ed attuare una corretta politica di backup.

Se siete in un contesto aziendale consiglio di informare i vostri collaboratori dei rischi informatici e delle relative contromisure e di attuare delle procedure che minimizzino questo rischio.

Consiglio di installare un software antivirus e di tenerlo aggiornato, e di non aprire mai e per nessuna ragione gli allegati contenuti in mail sospette e/o provenienti da mittenti sconosciuti.

Sono a vostra disposizione per implementare o verificare la vs. politica di backup, o qualora fosse già accaduto l’irreparabile, di eseguire la procedura di carving dei file, con metodologia di informatica forense, per tentare il recupero dei vostri documenti.

Note sull’autore

Giuseppe Montagnola, classe 1976, laureato in Informatica all’Università degli studi di Modena, svolge la professione di consulente informatico dal 2000 ed amministratore della GM Soft Srl (http://www.gm-soft.it), società di consulenza informatica operante nello sviluppo software personalizzato e nell’informatica forense.