Come difendersi dai CryptoVirus



Come difendersi dai CryptoVirus

Abbiamo trovato molto interessante un articolo pubblicato su www.iohacker.comche, scritto in modo serio e pragmatico, affronta il problema di come difendersi dai CryptoVirus di tipo Ramsonware. Ne riprendiamo un estratto che riteniamo significativo e grazie alla gentile concessione dell’autore lo pubblichiamo.


“Negli ultimi tempi gli attacchi dei Ransomware si sono moltiplicati in maniera esponenziale causando danni incalcolabili ad aziende e privati. Comprendendo cosa sono, come infettano il computer e come agiscono, vediamo cosa sono e come si possono abbattere i rischi di contagio.
Riceviamo un email di una presunta bolletta non pagata, di una fattura o di un corriere per un pacco inaspettato. Clicchiamo sull’allegato per capire meglio di cosa si tratta ma apparentemente non si apre nulla. Poco dopo ci rendiamo conto di non essere più in grado di accedere ad alcun file presente sul computer. Tra questi però spicca un file di testo che, in maniera minacciosa, ci avverte che per riavere indietro tutti i nostri dati l’unica soluzione è quella di pagare caro un riscatto. Siamo appena stati vittima di un Ransomware e presto potrebbero esserlo anche tutti gli altri computer dell’azienda.

Cosa sono i Ransomware
Un Ransomware, comunemente conosciuto come CryptoVirus, è un particolare tipo di malware che blocca l’accesso ai dati del dispositivo che ne viene infettato, con lo scopo di lucrare denaro dalle vittime. Per ottenere nuovamente il controllo dei propri file viene richiesto il pagamento di un riscatto, solitamente in valuta Bitcoin così da renderne difficilissima la tracciabilità. Il termine Ransomware deriva infatti dalla parola inglese ransom, che significa appunto riscatto.
I primi elementari attacchi di questo genere sono stati rilevati in Russia nel 2010, ma solo a partire dal 2013 hanno iniziato a diffondersi gravemente su scala mondiale. Il più famoso tra questi è CryptoLocker, un worm di tipo ransomware che è riuscito a spillare un totale di circa 3 milioni di dollari dalle proprie vittime prima di essere debellato.
I sistemi Windows infettati si ritrovavano tutti i file criptati con una chiave RSA a 2048 bit (praticamente impossibile da decifrare) e la richiesta di un pagamento per la loro decriptazione.

Come agiscono ed infettano il computer
Per contrastare a dovere questo genere di attacchi, innanzitutto è importante comprendere le modalità con cui è possibile cadere vittima dell’infezione. Generalmente il worm si diffonde via email, tuttavia esistono anche altri canali che è preferibile tenere d’occhio.
Nella maggior parte dei casi questo genere di ransomware si propaga attraverso un allegato di posta elettronica con estensione .rar, .zip e più raramente .exe. Spesso il file si presenta come un finto documento .pdf. Approfittando che di default nei sistemi Windows sono nascoste le estensioni per i tipi di file conosciuti, questo viene nominato con una finta doppia estensione come ad esempio nomefile.pdf.rar, così da trarre in inganno l’ignaro utente. Di norma l’apertura del solo file compresso non dovrebbe essere sufficiente all’avvio del ransomware, aprirne il suo contenuto invece, rappresentato spesso da un file con estensione .js, è assolutamente letale. Si tratta di JavaScript, un tipo di file comunemente sconosciuto ai non addetti ai lavori ma estremamente pericoloso.
Una volta avviato il software malevolo, questo come prima cosa si copia in una cartella di sistema e aggiunge una chiave al registro di configurazione in modo da poter partire automaticamente all’avvio del computer. Lo step successivo è quello di connettersi a uno dei server di comando e controllo per ricevere la chiave RSA con il quale criptare tutti i dati. Il malware infine inizia a cifrare i file presenti nel disco rigido e nelle cartelle condivise in rete mappate localmente, tenendo traccia di ogni file cifrato in una determinata chiave di registro.
Solitamente i file che possono essere vittima delle criptazione sono tutti i documenti del pacchetto office, i file testuali, le immagini e file di Autocad. Questi una volta cifrati otterranno una nuova estensione che varia a seconda del tipo di ransomware, le più comuni sono: .ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto, _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .good, .LOL!, .OMG!, .RDM, .RRK, .encryptedRSA, .crjoker, .EnCiPhErEd, .LeChiffre, .keybtc@inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o un estensione formata da un random di 6-7 caratteri alfanumerici.
Oltre agli allegati è bene prestare massima attenzione anche ai link presenti nel corpo dell’email, i quali potrebbero avviare inavvertitamente il download del virus.
Un’altra modalità con cui il worm può diffondersi è Skype o altri sistemi simili di messaggistica. Dopo che ci è stato inviato un file da uno dei nostri contatti è sempre buona regola chiedergli conferma della sua genuinità. Quando il worm infetta un computer infatti, potrebbe inviarsi automaticamente a tutta la lista dei contatti all’insaputa del mittente.

Come tutelarsi dai CryptoVirus
Mai come in questi casi, prevenire è meglio che curare. Per tutelarsi dai ransomware devono essere adottate una serie di misure di sicurezza e prevenzione che possono fare davvero la differenza. Innanzitutto è di vitale importanze tenere costantemente informato sui rischi tutto il personale che lavora al computer. Adottare un sistema di filtraggio delle email ed installare un anti-ransomware sono scelte che possono ridurre di molto i rischi d’infezione.
Per la salvaguardia dei dati è importantissimo settare i giusti permessi per l’accesso ai percorsi di rete e programmare un backup dei computer con cadenza almeno mensile. Vediamo nello specifico come ho deciso di agire.

Quali Consigli:
Verificare sempre l’attendibilità dei file che si ricevono in allegato all’email a prescindere da chi sia il mittente. Non abbassare mai la guardia nemmeno se l’email risultasse inviata da persone, parenti, amici conosciuti, in quanto per un worm inviare un messaggio di posta elettronica con un falso indirizzo di mittente è un gioco da ragazzi.
Un altro consiglio è quello di diffidare dalle email senza un chiaro testo descrittivo o con un uso scorretto della lingua italiana. Chi realizza questo genere di virus sarà sicuramente un ottimo programmatore informatico, ma difficilmente sarà anche poliglotta e ricorrerà quindi a sistemi come google translate per tradurre i suoi testi in italiano.

Primo soccorso al computer infetto
Appena ci si accorge di essere stati vittima di un ransomware, effettuando le corrette procedure di primo soccorso è possibile limitarne parecchio i danni. Queste possono davvero fare la differenza, ma vanno eseguite il più rapidamente possibile, nel momento esatto in cui ci si rende conto che l’allegato aperto è una trappola.
Come prima cosa andrebbe immediatamente isolato il computer dalla rete locale, eventualmente scollegando prontamente il cavo ethernet. Così facendo, oltre ad evitare che vengano criptati eventuali file condivisi in rete da altri computer, si potrà impedire al worm di collegarsi al suo server di comando ed ottenere la chiave RSA con la quale criptare i files, rendendolo di fatto innocuo.
In molti casi, senza una connessione internet questo genere di ransomware non è grado di recar danni”.
Successivamente è bene spegnere il computer così da arrestare anche il lavoro del virus e contattare il vostro ufficio tecnico per l’intervento di bonifica e recupero del sistema, oppure il nostro servizio di assistenza tecnica clienti di Altec.

 Per un maggior approfondimento tematico è utile leggere tutto l’articolo al seguente link.

http://www.iohacker.com/come-ho-liberato-lufficio-dai-ransomware-e-cryptovirus-289.html

Ufficio Stampa
AltecSI

I cookie ci aiutano a offrire servizi di qualità. Utilizzando i nostri servizi, l'utente accetta le nostre modalità d'uso dei cookie. We use cookies to improve our website and your experience when using it. Cookies used for the essential operation of the site have already been set. To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.

EU Cookie Directive Module Information