CryptoLocker è un virus messo attivo dal mese di Settembre 2013 la cui diffusione sta accelerando negli ultimi mesi.
Quando un sistema viene attaccato dal virus, quest’ultimo inizia a crittografare i file presenti sul PC (che diventano normalmente illeggibili) con algoritmi RSA e AES, praticamente impossibili da decriptare senza conoscere la chiave di cifratura.
Terminata la procedura, viene visualizzato un avvertimento che reca una vera e propria richiesta di riscatto, invitando a pagare una certa somma di denaro (corrispondente a qualche centinaia di euro) in valuta BitCoin (una valuta digitale valida su un circuito monetario che garantisce l’anonimato delle transazioni effettuate).
Una volta effettuato il pagamento del riscatto, viene avviato il processo di decriptazione dei file.
L’infezione
L’infezione avviene tramite una mail preparata ad-hoc, spesso riguardante una fattura od un ordine plausibile, che può quindi risultare interessante agli occhi dell’utente.
Anche il file allegato presenta un nome coerente, come ad esempio fattura1597.pdf.exe oppure ordine-41024.pdf.exe; spesso le impostazioni di Windows nascondono l’estensione dei file, che in questi esempi risulta essere “exe”, ed il virus sfrutta tale caratteristica mostrando una seconda estensione fasulla.
Una volta avviata l’apertura dell’allegato, il virus si installa ed effettua il collegamento ad uno dei server centrali che fornisce le istruzioni su come effettuare la cifratura dei file.
Questi server variano continuamente rendendo molto difficile l’identificazione dei creatori del virus.
Tale metodologia d’infezione (che viene avviata senza la presenza diretta del codice malevolo nel file installato) può trarre in inganno i software antivirus, specialmente quelli datati o non aggiornati.
File e backup di rete
L’azione di cifratura dei file da parte del virus non si ferma ai file presenti sul PC infettato ma si espande anche ai dispositivi di memorizzazione collegati (dischi esterni USB, penne USB, schede SD) ed anche a tutte le risorse di rete raggiungibili dal PC stesso.
Ciò significa che anche i file presenti su una cartella condivisa in rete, che risulti raggiungibile dal PC infetto, posso divenire illeggibili ed irrecuperabili (a meno di pagare il riscatto e sperare che venga avviato il processo di decifratura).
È importante ricordare che tra i dispositivi di rete ed USB possono anche essere presenti dispositivi destinati al backup dei dati presenti sul PC; quindi anche i file relativi dei backup potrebbero essere cifrati divenendo di fatto inutili per riparare ai danni causati dal virus.
Attualmente, considerando la corrente versione del virus (che risulta in continua evoluzione), risultano esclusi da tale casistica i backup effettuati su NAS con i software proprietari NetJapan Active Image Protector e StorageCraft Shadow Protect il cui utilizzo viene consigliato. Tali software, se configurati con apposite impostazioni, sfruttano algoritmi di backup ed accesso ai file che esulano dalle modalità standard di Windows; il risultato è quindi un’invisibilità dei backup alla scansione delle risorse da parte del virus, permettendo quindi di preservare intatti tali dati. Dotarsi di tali software di backup risulta quindi un’ottima strategia di prevenzione, sia contro la possibile infezione sia in ottica generale per salvaguardare i dati.
Cosa fare in caso d’infezione
Molto probabilmente al manifestarsi del virus, tramite richiesta di riscatto, l’azione di cifratura è già stata completata; l’intervento di un antivirus risulta quindi inutile in questa fase.
È quindi consigliabile spegnere il PC infetto per evitare, per quanto possibile, la propagazione degli effetti del virus sulle risorse di rete o locali momentaneamente irraggiungibili (come ad esempio un penna USB che risultava scollegata al momento dell’infezione). Raggiunta questa condizione, non pagare il riscatto, contattare immediatamente Braindata per analizzare la situazione e stabilire la miglior politica d’intervento.