Cryptolocker, il punto della situazione

PC affetto da Cryptolocker

Nostro articolo pubblicato su
Informazione Locale – Luglio 2015

Cryptolocker è il nome di un virus informatico che sta facendo danni economici ingenti in tutta la penisola ed anche in Umbria.

Per anni la domanda che ha assillato chi è stato infettato da un virus è stata: chi ci guadagna a rendere inutilizzabili i dati del mio computer? In fondo i virus sono programmi, anche molto sofisticati, richiedono tempo e maestria per essere messi a punto e diffusi; quel è il motivo che spinge i creatori a spendere tempo e risorse semplicemente per recar danno a qualcuno? Queste domande, del tutto pertinenti, nel corso degli anni non hanno mai avuto risposta, questo ha quindi addirittura alimentato alcune tesi complottiste secondo le quali dietro i creatori dei virus ci sarebbero i creatori dei Software Antivirus, che avrebbero monetizzato vendendo la soluzione al problema da loro stessi generato. Queste tesi non hanno mai avuto il minimo riscontro. Nel caso del Cryptolocker invece la risposta alla domanda è ben chiara. Questo virus rende inaccessibili tutti i dati del computer: documenti, fotografie, fogli di calcolo. Questi sono presenti, ma di fatto sono illeggibili perché vengono criptati con una chiave molto difficile (praticamente impossibile) da decifrare. Il computer dopo un iniziale rallentamento, dovuto al fatto che il virus lavora in background (cioè di nascosto) per l’operazione di cifratura suddetta, continua ad essere perfettamente funzionante, ma non consente più all’utente di rileggere i propri dati. Questi non vengono cancellati, ma “presi in ostaggio”: la chiave per rileggerli viene inviata alla vittima solo dopo pagamento di una somma di denaro che generalmente ammonta a qualche centinaio di euro. L’importo del riscatto viene richiesto generalmente in Bitcoin, in questo modo non si può rintracciare il destinatario. Da notare che il versamento della somma richiesta non garantisce di poter riavere i propri dati, in alcuni casi anche dopo il pagamento la vittima non ha ricevuto nessuna chiave di decriptazione. Del resto non ci si può di certo aspettare un comportamento limpido e corretto da parte di criminali.

In una nota del Ministero dell’Interno, la stessa Polizia Postale ammette che “Decine di privati cittadini e di aziende, anche pubbliche, sono già rimaste vittime di questo nuovo virus informatico che sta arrecando danni economici davvero importanti.”

La diffusione e la durata del fenomeno ci inducono a fare qualche considerazione aggiuntiva. Il mezzo attraverso il quale il virus si propaga è la posta elettronica. Questo è uno strumento fenomenale e diffusissimo che rende possibile la comunicazione tra esseri umani in modo veloce e spesso gratuito, viene usata da tutti ed in continuazione, specie in ambito lavorativo, proprio per questo il livello di attenzione dell’utente è molto basso, quello che si riserva ad azioni oramai quasi automatiche.

Email con allegato Cryptolocker

Inoltre, come si può vedere dall’esempio, l’email è perfettamente verosimile, non è semplicissimo accorgersi che ha intento malevolo.

Il virus viene attivato dall’utente stesso che prova ad aprire un allegato, apparentemente innocuo, che invece contiene il virus. Questo atto volontario dell’ utente bypassa la protezione dell’antivirus. L’email che contiene il virus è del tutto verosimile, è generalmente ben scritta e l’allegato ha un nome plausibile. Come si riconosce quindi un allegato sospetto? Un buon criterio è quello di porsi le seguenti domande:

• – conosco il mittente?
• – sto aspettando da quel mittente un allegato?
• – il file che mi chiedono di scaricare ha un’ estensione sospetta? Perché una fattura è in formato ZIP e non in PDF?

Nel caso si abbia il minimo dubbio non si deve aprire l’allegato: è molto importante verificare accuratamente il mittente, il motivo dell’invio e quindi il contenuto.

Oltre al pagamento del riscatto, che come detto non garantisce appieno la restituzione dei dati, l’unico altro modo per rientrare in possesso dei propri documenti è quello di avere delle copie di salvataggio dei dati storicizzate ed archiviate in un luogo fisico diverso rispetto alla propria sede lavorativa. Questo perché l’infezione si estende anche ai supporti di backup fisicamente attaccati al computer infetto, anche se su unità di rete.

Questo virus evidenzia la carenza di consapevolezza che affligge l’utente medio, quindi, indirettamente, mette a nudo la carenza di investimenti in sicurezza informatica delle nostre piccole media aziende. L’assenza di politiche di istruzione del personale e ancor di più l’assenza di politiche organizzate e professionali di salvataggio dei dati, costituisce un rischio oramai troppo grande per continuare ad essere ignorato.

La nostra struttura mette a disposizione un tecnico per controllare il grado di efficienza del sistema di salvataggio. Per prenotare la consulenza (gratuita e senza impegno) è sufficiente cliccare qui e compilare il modulo online