Il CryptoLocker
Articolo pubblicato su "Il Quotidiano del Molise" del 16-03-2015
Fonte img: http://news.zerobytesrl.it/
(Storia di un “sequestro” digitale)
Isernia, ore 11:45. Sul monitor il programma di posta segnala l’arrivo dell’ennesima e-mail di lavoro. C’è un impiegato…solo…nel suo angolo d’ufficio…sommerso di appunti con calcoli, nomi e indirizzi. È già stanco e in modo distratto clicca sul messaggio di posta appena arrivato. Questa volta sembra trattarsi di un ordine, anche bello grosso: attrezzature informatiche per un valore di 5/6000 euro. “Stampa immediata”. La cartuccia è quasi finita ma comunque il messaggio è leggibile. Adesso non resta che ricontrollare se nel foglio appena stampato c’è tutta la mail. Sì, c’è tutta…ma non l’allegato! Parte la solita imprecazione. Il capoufficio vuole che si stampi tutto, anche gli allegati delle e-mail, e quello stupido allegato è stato zippato apposta proprio per fargli perdere del tempo!
Non ha alternative…deve a forza “giocare” con il computer, aprire l’allegato e riavviare la stampa, eseguendo tutto automaticamente cliccando nervosamente su quella stupida
e-mail e sul suo stupido allegato. Nuova Schermata! “YOUR PERSONAL FILES ARE ENCRYPTED!”. “Che combina sto catorcio di computer adesso?!?! Doveva solo aprirmi una fattura e stamparmela!” (grida in preda alla collera che cresce piano piano).
Decide di stamparlo più tardi. Occorre finire prima il prospetto economico che stava completando. Quello stupido allegato può attendere, ha già rubato troppo tempo! Chiude la schermata che gli era apparsa e riapre il file su cui stava lavorando. L’icona è cambiata ma non importa. Ciò che importa è che entro le 13 l’intero prospetto sia finito e inviato. ANCORA LA SCHERMATA DI PRIMA! Piovono bestemmie! Il file del prospetto non si apre…nessun altro file si apre! L’ira lascia spazio al PANICO! Sembra essere andato tutto in fumo. È ora di attaccarsi al telefono e chiamare quell’amico che ne capisce di computer. Il verdetto è terribile: “Hai il computer infetto…si chiama CRYPTOLOCKER…ti ha crittografato tutti i file…in altre parole HAI-PERSO-TUTTO!!!”
Il CRYPTOLOCKER è un malware di nuova generazione, più precisamente un “Trojan/Ransomware”, ossia un programmino malevolo che arriva da Internet sotto forma di un allegato ad una e-mail avente per oggetto un ordine di acquisto di una certa entità.
L’e-mail appare talmente veritiera da essere scritta con un linguaggio formale e grammaticalmente corretto. Il testo della missiva invita ad aprire l’allegato per avere ulteriori informazioni e, per convincere definitivamente l’utente sulla serietà della comunicazione, vengono riportati anche nomi e numeri telefonici a cui rivolgersi.
Il malware non distrugge i file ma li rende “semplicemente” illeggibili applicandovi una cifratura a 2048 bit. Cifrare un’informazione significa renderla fruibile soltanto al possessore di una particolare password o “chiave”, generata durante il processo di criptazione. Nel caso del CRYPTOLOCKER, questo processo di generazione avviene
on-line utilizzando un server di internet sul quale viene anche salvata (e poi DISTRUTTA!) la chiave necessaria per decrittare i file che sono stati cifrati. Successivamente, il virus informa l’utente di aver cifrato i suoi file e chiede un riscatto (in inglese “ransom”), da pagare entro e non oltre le 72/100 ore, per ottenere l’unica chiave in grado di rimuovere la cifratura e recuperare, così, i file. Tuttavia, anche pagando il riscatto nei tempi richiesti, i file rimangono cifrati poiché, alla povera vittima, spesso non viene inviata alcuna chiave di decriptazione! La situazione non cambia nemmeno se il CRYPTOLOCKER venisse subito rimosso: i file continuerebbero a rimanere comunque criptati in un modo che gli stessi ricercatori ritengono addirittura inviolabile!
Recentemente diverse agenzie e aziende di sicurezza si sono alleate per fronteggiare questa nuova e terribile minaccia dando vita ad una imponente operazione su scala internazionale, chiamate “Tovar”, durante la quale sono state recuperate milioni di chiavi di cifratura. Le stesse, poi, sono state raggruppate in un enorme database al fine di poter aiutare gli utenti a debellare definitivamente gli effetti del pericoloso virus.
Il CRYPTOLOCKER sta imperversando in rete da diverse settimane, colpendo anche utenti della nostra piccola regione: tante sono le persone che si rivolgono presso il nostro Centro per chiedere aiuto! Purtroppo, allo stato attuale, le speranze di liberare i file sono davvero poche, così come complessa è la procedura per “ripulire” il computer dal temibile virus. Unica soluzione certa sembra essere l’informazione e la prevenzione:
- Bisogna sempre evitare di aprire e-mail ed allegati sospetti (NON SIATE CURIOSI!);
- Per salvaguardarsi da perdite accidentali di dati è opportuno eseguire backup periodici dei propri file su supporti diversi (CD e Hard Disk esterni) e isolati da ogni tipo di rete;
- Infine, accertarsi di avere installato un valido Antivirus sempre aggiornato nelle sue definizioni! (La maggior parte degli Antivirus sono in grado di individuarlo e rimuoverlo, ma può sempre capitare che il virus non venga individuato del tutto o solo dopo che la cifratura è iniziata o è stata completata!)
“Siate Antivirus di voi stessi!” 😉
Buona Navigazione!
I-Forensics Team
VISUALIZZA l'articolo sul "Il Quotidiano del Molise"