Cryptolocker è uno degli ultimi virus in circolazione che da quasi un anno rende terribile la vita ai personal computer in ambiente Windows di tutto il mondo.

Di cosa stiamo parlando?

Quando si viene colpiti da questo malware tutti i file personali, documenti ed estensioni conosciute, vengono criptate con chiave segreta e resi quindi inaccessibili all’utente.

Anche rimuovendo il virus i file restano comunque protetti e quindi criptati. L’unico modo di venirne fuori e riottenere l’accesso a questi file “sembrerebbe” il  pagamento di  un riscatto agli hacker dietro Cryptolocker per ottenere la chiave di decriptazione.

La cosa peggiore è che si hanno solo 72 ore per fare il pagamento, dopodichè i file sarebbero persi per sempre.

Come funziona?

CryptoLocker generalmente si diffonde come allegato di posta elettronica in apparenza lecito e inoffensivo che sembra provenire da istituzioni riconosciute. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf (avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file).

Al primo avvio, il software si installa nella cartella di default di Windows Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 1024 o 2048 bit mandando la chiave pubblica al computer infetto. Da questo momento il malware quindi inizia a cripatare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti,  file di Autocad etc.

Il virus si riconosce perché aggiunge l’estensione “._CRYPT” in fondo all’estensione preesistente dei file che bloccato e poi colloca nella medesima cartella/directory un file “!_READ_ME_!.txt” che spiega come procedere per far avere il “riscatto”.

Il programma quindi informa l’utente di aver cifrato i file e richiede per decifrare i file un pagamento di 300 Dollari o Euro attraverso un voucher anonimo e prepagato (ad esempio MoneyPak o Ukash), o 0.5 Bitcoin.

Una vera e propria estorsione!

Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti si corre il rischio che la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”.
Anche se CryptoLocker venisse rimosso subito, i file restano criptati in un modo che i ricercatori ed esperti ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file se non si disponga di un backup non compromesso.

E se vado oltre le 72 o 100 ore?
Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l’invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l’utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ad oggi valgono circa poco più di 2100 Euro… Spiccioli!).

Questa è una minaccia emergente “Ransomware”: documenti e file personali sono sotto scacco e i file dell’utente vengono insomma tenuti “in ostaggio” chiedendo una somma di denaro variabile (in questo caso tra 100 e 200 dollari) per il riscatto. Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300 dollari sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove… Sempre se arrivi!

Per sapere almeno quali sono questi file nascosti e criptati da Cryptolocker, si può usare un programma gratuito chiamato Cryptolocker scan tool che trova i file crittografati e li presenta in una lista su un file CSV.
Non riesce a decriptarli, ma almeno è possibile sapere cosa, effettivamente, è sparito dal computer per poter, eventualmente, ripristinare questi file da un backup.

Non è chiaro quanti sistemi siano stati, fino a oggi, infettati con CryptoLocker, ma, secondo le stime, il numero si aggirerebbe sul milione.

Di queste vittime solo l’1,3% delle vittime avrebbe pagato il riscatto con CryptoLocker, mentre gli altri hanno perso i dati per sempre.

Per fortuna per prevenire questo tipo di problemi basta avere un antivirus aggiornato sul PC che dovrebbe bloccare l’entrata del virus prima che possa creare danni.

Infatti l’infezione di Cryptolocker si è potuta diffondere per due motivi. Il primo è che l’utente del computer ha aperto un allegato non sicuro. Il secondo è che il computer non era difeso da adeguati software antivirus ed antimalware.

Ed ecco l’ennesima predica: se dubitate del mittente di un’email, non aprite allegati in essa contenuti. Se un’email contiene allegati sospetti, non li aprite. Se vi viene offerto, tramite email, un guadagno economico, dubitate del suo contenuto.

L’unico modo sicuro quindi per evitare tali inconvenienti è dunque:

– Bloccare l’installazione e l’esecuzione di programmi di cui non è certa la provenienza (allegati posta, da chiavi usb, etc);

– Salvare una copia dei file importanti e delle foto in uno spazio di archiviazione personale o un  cloud come Dropbox o Google Drive.

La presenza di un backup sicuro è presupposto fondamentale per l’integrità dei dati non solo di un ufficio, ma anche di un singolo utente che utilizza per scopi personali il proprio computer.

Pensaci!