Circa un anno fa, il virus Cryptolocker era improvvisamente finito sotto i riflettori dei media destando non poche preoccupazione tra gli utenti. Le reali cause che portarono il virus ad acquisire una certa notorietà sono sconosciute ma l’attenzione di siti non specializzati (ad esempio Repubblica.it) aiutò a limitare i danni.
Probabilmente la nuova campagna Cryptolocker segnalata dalla Polizia Postale e delle Comunicazioni non otterrà la stessa attenzione ma avrà ugualmente non trascurabili ripercussioni su privati ed aziende. E’ quindi opportuno reintrodurre brevemente il malware in questione suggerendo in chiusura alcune possibili contromisure da adottare in caso di “infezione”.
Virus e modalità di attacco
Cryptolocker è un “ransomware” (dalla parola inglese ransom, riscatto), un malware che colpisce solo il sistema operativo Windows e che sostanzialmente rende inservibili i file (documenti, foto etc.) presenti nei computer di turno (anche terminali collegati nella stessa rete) criptandoli: come suggerisce il termine ransom, l’utente deve pagare un corrispettivo in denaro (solitamente BitCoin) per ricevere la chiave di sblocco e riuscire quindi ad accedere ai dati.
La modalità di attacco è invece la seguente, con alcune varianti che indicheremo a breve. I bersagli ricevono una mail, scritta in corretto italiano e quindi senza i classici errori grammaticali in grado di suggerire la natura malevola della comunicazione, nella quale:
- (variante 2015). Si conferma l’avvenuta ricezione delle merce spedita come “reso” dall’utente di turno promettendo l’invio di una cospicua somma di denaro (anche intorno ai 1000€). La mail invita ad aprire una presunta fattura con estensione .CAB, ovvero il malware in questione;
- (variante 2016). Si notifica l’avvenuta spedizione di alcune merci a favore del destinatario della mail, invitando quest’ultimo ad aprire un link o un allegato (in formato .zip o .pdf, si tratta naturalmente del virus sotto mentite spoglie). Il mittente è solitamente un’azienda, un Ente, una banca o un gestore/fornitore di servizi generalmente noto.
Alcuni consigli in caso di infezione
- Ostacolate/rallentate la diffusione del virus eliminando i file temporanei (dove solitamente si trova il virus) e chiudendo i processi sospetti da task manager;
- Ripristinare le versioni non infette dei file criptati, bisogna tuttavia disporre di un precedente backup dei file in questione. Nel caso in cui sia stata colpita la vostra cartella “Dropbox”, è possibile ripristinare le versione precedenti dei file direttamente dal sito;
- I file originali, che sono eliminati dal virus non appena sono create le corrispettive copie criptate, possono essere recuperati con alcuni programmi “speciali” (es: R-Studio) che tentano di riportarli indietro.