Sembra un allegato di posta elettronica, lecito ed innocuo. In realtà non lo è, anzi: può fare molto male. Stiamo parlando di CryptoLocker: un ransomware che cifra i dati del computer della vittima, di fatto bloccandolo, e chiedendo il pagamento di un riscatto (in inglese ransom) per ripristinarli.
Un’indagine Clusit del 2017 ha evidenziato che tra le imprese colpite da un attacco informatico, il 75% era stata messa sotto scacco proprio da un ransomware.
Indice degli argomenti
CryptoLocker: cos’è e come funziona
All’interno della categoria dei ransomware possiamo distinguere due diversi tipi di minacce informatiche:
- i “lock screen” che sfruttano un’immagine a schermo intero o una pagina web per impedire l’accesso al computer;
- gli “encryption” che bloccano i documenti presenti nel computer, criptandoli con una password e rendendo impossibile aprire i file.
CryptoLocker appartiene a quest’ultima categoria. Più nel dettaglio, si tratta di un software malevolo che infetta i sistemi operativi Windows. È stato individuato per la prima volta alla fine del 2013 e, secondo le stime, la sua scalata è stata da record: perché è riuscito ad estorcere ben 27 milioni di dollari in appena due mesi di vita. Il malware è stato ulteriormente raffinato nel 2017, quando ha messo in difficoltà molte piccole e medie aziende, inchiodando i computer dei loro dipendenti.
Ma come si diffonde CryptoLocker? In due modi, o viene caricato su un computer che fa già parte di una botnet, cioè una rete di computer zombie controllabili da remoto che può essere usata anche per sferrare attacchi cibernetici di portata globale. Oppure, arriva tramite un’email che apparentemente sembra essere stata spedita da un’istituzione di cui possiamo fidarci. Come, per esempio, la banca che ci invia un estratto conto, le poste italiane che ci spediscono la ricevuta di una raccomandata effettuata, o PostePay che ci avvisa di un bonifico fatto a nostro favore. Ed ecco che nel messaggio di posta elettronica, troviamo il trucco: un allegato da scaricare.
Si tratta di un file zip, al cui interno c’è un documento con un’icona e un’estensione pdf: attenzione, però, in realtà non è un pdf, ma un eseguibile (.exe). I cyber criminali, infatti, sfruttano una peculiarità dei recenti sistemi operativi firmati da casa Redmond per indurre gli utenti a cadere nella trappola. In pratica, Windows non mostra di default le estensioni dei file: per cui, un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf, nonostante sia un eseguibile. Questo porta a commettere un errore di cui ci pentiremo nei giorni successsivi, quel fatidico click che installa CryptoLocker sul nostro computer.
Come difendersi e rimuovere il malware
Difendersi da CryptoLocker è abbastanza semplice. Prima di tutto, si consiglia di aggiornare il sistema operativo e d’installare un buon, e aggiornato, antivirus: anche se non è sempre in grado di rilevare le ultime versioni del ransomware, in costante evoluzione, rimane comunque un valido scudo. Un altro accorgimento da adottare è ovviamente quello di evitare il click facile: fare quindi attenzione all’estensione del file e alla provenienza dell’email. In alcuni casi, si potrebbe venire adescati da un link veicolato tramite social network, per cui è utile prestare sempre attenzione.
Invece, fondamentale è un backup dei dati (o, se già fatto, un aggiornamento), cioè una copia dei propri file. Si può effettuare utilizzando Windows Backup che si trova nel pannello di controllo del nostro pc. Il backup va fatto frequentemente in un hard disk esterno, ad esempio una chiavetta Usb. In questo modo se il malware dovesse infettare il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinare tutto all’occorrenza.
CryptoLocker va rimosso dal computer intaccato il prima possibile. A questo punto, non abbiamo a disposizione un programma ad hoc. Ma uno dei migliori a disposizione è Norton Power Eraser: software gratuito distribuito da Symantec che è in grado di eseguire scansioni ed eliminare virus che potrebbero sfuggire alle scansioni tradizionali, senza bisogno di essere installato.
Prevenzione
E’ possibile prevenire i problemi derivati da CryptoLocker impedendo l’esecuzione dei programmi nella cartella AppData di Windows, presente in tutti i sistemi e modificabile tramite Criteri di sicurezza locali, presente all’interno del pannello di controllo.
Come recuperare i file cifrati
Recuperare i file cifrati con CryptoLocker non è possibile (per altri ransomware ci sono una serie di strumenti, elencati dall’iniziativa No more ransom). Abbiamo un’unica opportunità: recuperare il backup, per ripristinare i dati. Se noi non l’abbiamo fatto, Windows esegue anche delle copie in automatico che si possono ottenere scaricando gratuitamente strumenti come Shadow Explorer
Il riscatto: pagare o no?
Quando vediamo il computer bloccato e il lavoro di una vita perso, il dubbio è lecito: pagare o no il riscatto? A volte la cifra non è molto alta, si aggira intorno agli 800 dollari: è una strategia dei cybercriminali, chiedono un versamento contenuto per darvi l’impressione che il gioco valga la candela. Inoltre, questi malware si diffondono con campagne di phishing, che puntano a far cadere nella rete il più alto numero di utenti possibile. In realtà, una volta scucita la somma non sempre si ritorna in possesso dei propri dati. Inoltre, pagando si alimentano sia un’organizzazione che un business criminale. Per questo anche la polizia postale suggerisce di non pagare mai il riscatto.
