image

Il virus, che fa parte della categoria dei "ransomware" (software che chiedono un riscatto, “ransom”, in inglese) rende immediatamente illeggibili, se non attraverso una procedura di decriptazione a pagamento, tutti i documenti presenti sia sul computer infetto che su eventuali condivisioni di rete presenti.

A questo punto compare una schermata nella quale viene richiesto il pagamento di una somma di denaro per poter riavere i propri documenti.
Va detto che il pagamento del riscatto (o meglio ricatto) non equivale quasi mai alla restituzione dei files infetti.

Come ci si infetta?

Il virus arriva celato tramite posta elettronica sotto forma di un collegamento oppure di un allegato che, apparentemente, contengono riferimenti a fatture di acquisto, a debiti da pagare e, recentemente, anche a spedizioni tramite corriere espresso. L'email fraudolenta può avere diversi mittenti: Equitalia, Telecom, (ultimamente ENEL) o, più semplicemente un parente, un amico oppure un perfetto sconosciuto.
Gli allegati in questione si presentano quasi sempre con una doppia estensione (es. fattura.pdf.zip oppure fattura.pdf.exe) ed è, in realtà, un programma eseguibile.

Quali sono i sintomi?

Avviso CryptoLocker 1 X550 Avviso CryptoLocker 2 X550

 

I files non vengono cancellati bensì criptati ossia resi illeggibili e codificati tramite un algoritmo a chiave simmetrica.
L'ultima variante di questa famiglia di virus aggiunge ai files crittografati l'estensione .micro, versioni precedenti presentavano l'estensione .encrypted oppure, nel peggiore dei casi, nessuna apparente modifica nè al nome nè all'estensione per cui i sintomi non sono sempre facilmente individuabili.
Spesso, in ogni cartella dove il virus ha trovato documenti da criptare, vengono lasciati i seguenti 3 file con le istruzioni per effettuare il pagamento del riscatto:

 

  • DECRYPT_INSTRUCTIONS.txt oppure HELP_DECRYPT.txt
  • DECRYPT_INSTRUCTIONS.html oppure HELP_DECRYPT.html
  • DECRYPT_INSTRUCTIONS.png oppure HELP_DECRYPT.png

In ogni caso il computer infetto diventa estremamente lento e, aprendo documenti pdf/doc, compaiono caratteri strani.

Quali sono i tipi di files interessati?

elenco_files

In caso di infezione?

1) Se il computer è connesso in rete scollegare immediatamente il cavo di rete e spegnerlo. Spegnere anche tutti gli altri computer/server collegati alla stessa rete. Il tempismo in questa fase aumenta le possibilità di recupero dei dati.
2) Rimuovete eventuali dispositivi USB connessi al computer: pendrive, hard disk, firma digitale, ecc.
3) Contattate il Vs supporto tecnico di fiducia.

 

Come contrastare questa minaccia informatica?

1) Effettuare backup periodici dei propri dati, anche su dispositivi non accessibili in rete (valido naturalmente contro qualsiasi virus).
2) Aggiornare costantemente il proprio antivirus.
3) Evitare di aprire mail sospette e porre particolare attenzione agli allegati in esse contenute.
4) Installare CryptoPrevent, un utility che protegge contro un'ampia varietà di malware, non solo CryptoLocker. Per scaricare le istruzioni di installazione cliccare qui.