Cercheremo di essere il più diretti e chiari possibili vista la gravità ed estrema facilità di “contagio” di questo virus / ransomware. Un ransomware è un virus che rende parzialmente inutilizzabile un pc o i suoi contenuti chiedendo un riscatto, ransom in inglese, per poter tornare ad utilizzare il pc e i suoi file.
È tipicamente chiamato Cryptolocker ma in rete è chiamato con diversi nomi CryproWall, Locky, Zepto e ad ogni variante spesso viene associato un nome diverso.

Come attacca.

Il virus contagia spesso tramite email. Si riceve nella propria casella di posta una mail con allegato.
Le email malevole spesso arrivano sotto false sembianze di gestori telefonici, enti pubblici, corrieri o nel peggiore delle situazioni, in caso dei computer nella Vostra azienda fossero già stati contagiati da altre tipologie di virus, da fornitori a voi conosciuti. Basta aprire l’allegato o in alcuni casi, cliccare su collegamenti malevoli all’interno della mail, per far partire l’infezione.
È di questi giorni, la scoperta di infezione anche tramite software gratuiti per controllo remoto.
Consigliamo di utilizzare TeamViewer e di evitare assolutamente altri software.
Il virus spesso contatta server esterni dove, comunicato l’id univoco generato del pc colpito, riceve una chiave RSA per il criptaggio dei files.
Una volta avviato il virus in maniera silente effettua una operazione di criptaggio dei files. Spesso viene aggiunta una estensione al vostro documento o foto. Ad esempio rubrica.doc diventa rubrica.doc.crypted oppure rubrica.doc.ytrhgf aggiungendo in maniera randomica estensioni ai vostri file.
Ovviamente non basta rinominarli. I Vostri file sono stati criptati con una chiave univoca impossibile da rintracciare. Il Virus vi fornisce istruzioni su come effettuare un pagamento in riscatto dei vostri documenti con il quale poter decriptare il PC.
Ovviamente sconsigliamo una operazione simile. Il pagamento viene effettuato tramite BitCoin su conti anonimi difficilmente rintracciabili.
Nel peggiore dei casi vengono anche rinominati i file perdendo completamente “l’orientamento” all’interno dei Vostri documenti.

Cosa fare una volta colpiti.

Staccate il cavo Ethernet, spegnete il computer, anche in maniera netta staccando l’alimentazione.
Se avete risorse in rete, spegnete i nas o server che “hostano” tali risorse.
Potete subito contattarci per capire l’entità del danno ed evitare possibili propagazioni in rete.

Cosa fare se l’attacco è andato a buon fine.

Purtroppo se il ransomware è riuscito ad entrare e ha criptato i vostri file, le possibilità di recupero sono pochissime e spesso, in base a quanto è complesso, pari a 0.
Dopo aver spento il pc, se il virus non è riuscito a cancellare le copie shadow del pc infettato, si può tentare un recupero con tool specifici. Se il danno è completo, purtroppo, in assenza di backup su periferiche esterne, non c’è molta speranza per i Vostri files.

Da dove arrivano.

Questi virus vengono venduti nel deepweb, vi invitiamo a leggere il nostro articolo a riguardo.
Gli stessi idealizzatori di questi attacchi, spinti da facili promesse di soldi, acquistano spesso versioni “vetuste” o di facile disassembling.
È il caso del ransomware chiamato Philadelphia che, spacciato per uno dei più avanzati ransomware viene venduto a ignari acquirenti a loro volta truffati. Il virus infatti, una volta capito con quale linguaggio fosse stato creato, è stato disasseblato e studiato.
Utenti in rete hanno infatti capito il funzionamento e reso disponibile in maniera gratuita un software per decifrare i file criptati.
Per questo invitiamo i nostri cliente e le aziende a contattarci tempestivamente per cercare di capire quale tipo di infezione è stata contratta..

Come difendersi.

Backup, un buon antivirus e un Firewall.
Da anni siamo rivenditori di antivirus della Eset. Tanti nostri clienti vengono giornalmente difesi da attacchi del genere. Niente è inattaccabile e anche il Nod32 potrebbe non riuscire a capire in tempo e fermare la minaccia. Tuttavia dai log di server e singoli Pc, il lavoro dell’antivirus Nod32 è innegabile e spesso ha salvato tantissimi clienti nel corso degli anni.
Piccola parentesi sul Nod32. Chi scrive l’articolo lo utilizza su pc di casa sin dalla versione 2.7 sin dal ormai lontano 2010. Leggero e funzionale. Consigliato a tutte le aziende e privati.
I Firewall sono un ulteriore strumento di filtraggio di tutto il male che spesso risiede nel web.
Nelle email con collegamenti a siti esterni un firewall può fare la differenza tra l’essere infettati e il proteggere il Vostro PC.
Ogni azienda piccola o grande che sia dovrebbe avere un firewall a protezione dei propri “confini” contro siti malevoli e software dannosi.

La Infomain è sempre disponibile per una consulenza e per cercare di consigliarvi la soluzione migliore per contrastare questa minaccia sempre più pericolosa ed efficace.
Per qualsiasi informazione su Antivirus e Firewall Vi invitiamo a contattarci.
Aspettare domani potrebbe essere tardi.

Related Post