Cryptolocker
a Modena.
E’ più
pericoloso aprire la porta ad uno sconosciuto o aprire una mail di dubbia provenienza?
Quando ero piccolo, avrò avuto circa 10 anni, i
miei genitori ed i nonni mi dicevano in continuazione di non aprire agli sconosciuti.
A distanza di 30 anni a questa sacro-santa raccomandazione andrebbe aggiunta
anche di non aprire le mail di ignota provenienza? Aprire una mail
tendenzialmente pericolosa potrebbe esporci ad rischio simile considerato che
documenti e dati personali potrebbero essere persi irrimediabilmente o trafugati
ed utilizzati per scopi illeciti (uso fraudolento di dati personali, di numeri
di carta di credito, ecc.)?
Tipologia
Virus
Cryptolocker è un virus che
cripta tutti i dati del disco fisso e richiede un riscatto per ottenere la
relativa chiave di decodifica. L’algoritmo di codifica utilizzato, una
cifratura asimmetrica RSA a 2048 o 4096 bit, rende praticamente impossibile il recupero
dei file originali in mancanza della chiave di sblocco.
Il risultato di tale codifica è che l’utente non è
più in grado di aprire alcun documento, immagine o video, visualizzando ad ogni
tentativo di apertura, un messaggio con la richiesta di riscatto.
Seguendo le istruzioni e pagando il riscatto
richiesto in bitcoin si otterrà via mail la chiave necessaria alla decodifica
dei files.
Anticipo già da qui che consiglio di non pagate nessun riscatto perché questa azione oltre ad
incoraggiare questa tipologia di criminalità informatica, non darà alcuna
garanzia di riottenere i propri file.
La
pericolosità del virus sta proprio nella velocità di codifica dei files del pc
infettato, e nella capacità di propagare i suoi effetti dannosi anche ai pc
collocati nella stessa rete; immaginate una tale infezione che si propaga velocemente
in un’azienda con 60 pc: il risultato è di un fermo di 3/4 giorni di lavoro per
ripristinare le macchine, i server ed i dati dalle copie di backup… se ci
sono!!!
Come si
viene infettati
Tipicamente l’infezione arriva mediante una comune
e apparentemente innocua mail inviata da un corriere, da un gestore di
telefonia, da una multi-utility, ecc. con informazioni riguardanti il vostro
contratto. Ovviamente non è il corriere, non è il gestore di telefonia, ecc. ma
sono solo un impostore che vuole farvi aprire l’allegato infetto e contagiare
il vostro computer e, se siamo in un contesto aziendale, anche tutti i pc
connessi in rete che risultano vulnerabili a tale infezione.
Le conseguenze di una infezione da Cryptolocker
sono devastanti e lo sono ancora di più se non si è in possesso di una copia di
backup dei dati.
Cryptolocker
a Modena
Cryptolocker ha mietuto le sue vittime anche Modena:
da fonti ufficiali pervengono notizie che sono state numerose le segnalazioni
alla Polizia Postale riguardanti appunto questa tipologia di virus.
Ci siamo occupati più volte a Modena, con esito
positivo, di recuperare i file criptati con Cryptolocker, ovviamente senza pagare
alcun riscatto, ma eseguendo il carving dei file.
Soluzione
Se siete stati
infettati dal virus, o ne avete il sospetto, vi consiglio di spegnere
immediatamente il vostro computer al fine di stoppare l’inesorabile procedura
di codifica dei vostri documenti e di rivolgervi ad centro assistenza di vostra
fiducia per tentare il recupero dei file. Consiglio inoltre di far eseguire
tale operazione a personale specializzato che operi su una copia forense del disco, l’unica che consente di ottenere una copia
fedele del supporto originale, spazio non allocato compreso che potrebbe contenere
al suo interno i file originali intatti.
Conclusioni
Il mio personale parere è di non pagare alcun
riscatto, perché come già anticipato, con questa azione incoraggerete questi "signori" a perpetrare nelle loro azioni criminose.
Se non è stato già fatto, consiglio di eseguire
immediatamente un backup completo e di conservarlo in un luogo sicuro e di
studiare ed attuare una corretta politica di backup.
Se siete in un contesto aziendale consiglio di
informare i vostri collaboratori dei rischi informatici e delle relative
contromisure e di attuare delle procedure che minimizzino questo rischio.
Consiglio di installare un software antivirus e di
tenerlo aggiornato, e di non aprire mai e
per nessuna ragione gli allegati contenuti in mail sospette e/o provenienti
da mittenti sconosciuti.
Sono a vostra disposizione per implementare o
verificare la vs. politica di backup, o qualora fosse già accaduto
l’irreparabile, di eseguire la procedura di carving dei file, con metodologia
di informatica forense, per tentare il recupero dei vostri documenti.
Note
sull’autore
Giuseppe Montagnola, classe 1976, laureato in
Informatica all’Università degli studi di Modena, svolge la professione di
consulente informatico dal 2000 ed amministratore della GM Soft Srl (http://www.gm-soft.it), società di consulenza
informatica operante nello sviluppo software personalizzato e nell’informatica
forense.
Nessun commento:
Posta un commento