Sta cominciando a diffondrsi la minaccia Cryptolocker, un malware che consente a un cybercriminale di codificare da remoto i file presenti su un computer. Per potervi riaccedere viene chiesto di pagare un riscatto.
I cosiddetti “ransomware” sono una particolare
categoria di malware che “prende in ostaggio” il sistema chiedendo
poi il versamento di un riscatto (“ransom“, in inglese,
significa proprio “riscatto“). Di esempi ne abbiamo conosciuti
parecchi: tra i più comuni ci sono i vari virus Polizia di Stato, Guardia di
Finanza, Polizia Postale, Centro Nazionale Anticrimine Informatico per la
Protezione delle Infrastrutture Critiche (CNAIPIC), Polizia Penitenziaria
che ancor’oggi vengono segnalati da numerosi utenti italiani.
Sulla scena internazionale sta cominciando a diffondersi a
macchia d’olio Cryptolocker, un ransomware che provvede a
crittografare i documenti dell’utente memorizzati sul personal computer in modo
tale che non possano essere più accessibili. La passphrase che consente
di decodificare i file non viene fornita e anzi, in perfetto stile ransomware,
viene richiesto il versamento di un importo compreso tra 100 e 300 dollari.
Se l’utente non effettuerà il versamento della quota richiesta
come riscatto, la chiave utilizzata per cifrare i suoi verrà definitivamente
cancellata dai server dei criminali informatici autori di Cryptolocker. Al
malcapitato utente vengono solitamente concesse 72-96 ore per conferire
l’importo in denaro.
Quest’applicazione
consente, in caso d’infezione, di stabilire l’elenco completo dei file che sono
stati cifrati dal malware.
Il problema è che allo stato attuale non c’è modo di
decodificare i file crittografati da Cryptolocker. Il malware, infatti, utilizza una chiave RSA a 2048 bit che
rende praticamente impossibile effettuare un attacco brute force.
L’unica maniera per tentare di ripristinare i propri dati consiste nel
ricorrere alla funzionalità Versioni precedenti integrata nelle più
recenti versioni di Windows. Grazie a “Versioni precedenti” e Shadow
copy, si potranno recuperare le copie di file memorizzate in numerose
cartelle.
In alternativa è possibile ricorrere al programma gratuito Shadow
Explorer. Non è comunque garantito di riuscire a recuperare una precedente
versione dei propri file.
L’infezione da Cryptolocker si contrae, generalmente,
aprendo messaggi allegati alle e-mail che si ricevono sui propri account di
posta. Di solito si tratta di comunicazioni che cercano di persuadere l’utente
ad aprire gli allegati nocivi (per ora gli autori di Cryptolocker hanno avviato
campagne spam che fanno riferimento a documentazione relativa a spedizioni dei
principali corrieri quali UPS, DHL, Fedex,…).
È quindi sempre bene porre la
massima attenzione alla natura dei file allegati che si decidono di aprire. Un
controllo con un servizio online qual è VirusTotal è sempre
consigliabile. Gran parte dei motori antivirus sono adesso in grado di rilevare
Cryptolocker.
Il video seguente, realizzato dai
tecnici di Sophos, mostra il malware Cryptolocker in azione:
A questo
indirizzo vengono suggeriti alcuni criteri
di protezione locali che potrebbero rivelarsi utili per impedire l’avvio del
malware. Il blocco dell’esecuzione dei file .exe estratti da archivi Zip e RAR,
ad esempio, può aiutare a difendersi da un gran numero d’infezioni.