Cryptolocker e cryptovirus, ecco come proteggersi.

CryptoLocker, CTB-Locker, CryptoWall, TeslaCrypt, Locky, TorrentLocker sono solo alcuni dei nomi dei più famosi cryptovirus che in questi giorni stanno mietendo vittime a ripetizione sia in Italia che nel resto dell'Europa. Fanno tutti parte della famiglia dei ransomware (da ransom, riscatto) proprio per la forma di riscatto che mette in atto una volta impossesatosi del PC infetto. Infatti questo malware di nuova generazione prende in ostaggio tutti i files presenti sul proprio computer criptandoli con una chiave cifrata di tipo militare (algoritmi RSA a 2048 bit o AES) sempre diversa e unica generata specificamente per il PC infettato e per questo impossibile da decifrare. Dopo aver completato la procedura abbastanza lunga di crittografia dei dati, viene rischiesto il pagamento online di un riscatto sotto forma di valuta virtuale come BitCoin o Money Pack senza tracciabilità. Il consiglio è ovviamente quello di non cadere nel ricatto e pertanto di non pagare questi criminali anche perchè, in quanto tali, non vi è certezza che vi vengano restituiti tutti i dati o solo parte di essi. Il modo migliore per proteggersi è quello di pianificare una copia di backup in cloud dei propri file (quanto meno quelli che si ritengono di vitale importanza) tutte le volte che tali file vengono modificati o procedere con copie di backup offline.

Il virus è inoltre particolarmente abile a diffondersi in maniera veloce in tutta la rete aziendale, infettando altri computer della rete stessa, NAS, dischi esterni, server, ecc. Solitamente il virus viene trasmesso tramite allegato di posta elettronica contenente un JavaScript che va a scaricare un eseguibile da uno spazio web e lo lancia a insaputa dell'utente. Le ultime varianti presentano mail provenienti da contatti conosciuti e non più soltanto da enti quali Enel e Telecom in primis ma anche banche, Poste Italiane e corrieri vari come SDA e il testo è scritto in italiano corrente. Occorre pertanto prima di aprire qualsiasi allegato di posta proveniente anche da un contatto apparentemente conosciuto, verificare in dettaglio il mittente in maniera da capire quale email utilizza. Di solito questo tipo di email infette provengono da indirizzi con estensione .ro (Romania) o .ru (Russia) anche se l'indirizzo abbia un nome italiano.

Cosa fare?

Innanzitutto adottare un buon software antivirus disponibile sul mercato che si aggiorni giornalmente (non di quelli freeware se possibile); essere diffidenti e non accettare le "caramelle" dagli sconosciuti cioè non aprire casualmente gli allegati senza leggere con attenzione il mittente; effettuare periodicamente un backup dei dati non solo in rete (sarebbe ideale mantenerli in formato compresso cioè zippati) ma anche offline cioè su un dispositivo collegato direttamente al computer come un hard disk esterno o una flash pen da scollegare subito dopo aver eseguito la copia di sicurezza; adottare un backup di tipo cloud (meglio con una funzionalità di crittografia dei dati per renderli ancora di più sicuri). Altro fatto non trascurabile è sicuramente mantenere aggiornato il proprio sistema operativo pianificando l'installazione tutti gli aggiornamenti importanti o quanto meno consigliati rilasciati dal produttore e i programmi installati (tipo Flash Player o Java che sono portatori di per se di ogni tipo di virus).

E se, comunque, siete stati infettati? Innanzitutto, spegnete immediatamente il computer anche brutalmente togliendo la spina se necessario in maniera da non dare tempo al virus di criptare l'intero hard disk e al tempo stesso togliere il cavo di rete o isolare la postazione specie se si trova all'interno di una rete aziendale. E' consigliato spegnere anche i dischi esterni o le unità di backup come i NAS oltre a spegnere server e altri PC collegati alla LAN. Ecco cosa succede nel caso il proprio PC venga infettato da una delle tante varianti, Cryptowall: https://www.youtube.com/watch?v=uiBH1gexJ44

Non riavviate il sistema per nessuna ragione e fate intervenire il vostro tecnico di fiducia anche perchè non appena si accende nuovamente il computer, il virus riprende a fare il suo corso se connesso alla rete. Pertanto occorre innanzitutto individuare ed eliminare la chiave di registro che si presenta al boot ed eseguire una copia dei dati su un'unità esterna (meglio vergine in maniera da non rischiare di intaccare il suo contenuto) e poi formattare la macchina per evitare qualsiasi tipo di problema una volta connesso nuovamente il PC in rete. Se non fosse possibile eseguire la formattazione e quindi ripristinare Windows allo stato originale, bisogna utilizzare alcuni programmi antimalware e removal tool presenti in rete. Tra questi il più efficace è sicuramente SpyHunter, scaricabile gratuitamente per 30 giorni dal sito http://www.enigmasoftware.com. poi ne esistono altri completamente freeware come Malwarebytes e Norton Power Eraser, un tool gratuito fornito da Symantec.

Una volta eseguito la pulizia del PC, tentiamo il recupero dei files criptati utilizzando la funzionalità di "Ripristino configurazione di Sistema" integrata a partire dalla versione di Windows XP in poi ma che il virus tende a disabilitare. Infatti non tutti sanno che è possibile esplorare tutte le copie di ripristino che Windows crea in automatico grazie a questa funzionalità.

La possibilità di esplorare il contenuto di queste Shadow Copies (copie di ripristino) viene già offerta a tutti gli utenti delle versioni Ultimate di Windows, mentre per tutti gli altri è necessario installare un semplicissimo software, che si chiama Shadow Explorer, scaricabile gratuitamente dal sito: http://www.shadowexplorer.com. Si tratta di un semplice programma che ci ricorda Esplora Risorse di Windows. Non bisogna far altro che cercare i file che vi interessa recuperare (il percorso lo potete ovviamente conoscere solamente voi), cliccarci sopra con il pulsante destro del mouse e selezionare l’unica voce disponibile: Export…, vi troverete di fronte ad una finestra dove potrete andare a selezionare dove salvare il file ripristinato, scegliete il percorso che preferite e concludete cliccando su OK.