venerdì 12 febbraio 2016

Come difendersi dal Cryptolocker (o almeno provarci)

Riprendiamo a riscrivere sul nostro blog spinti dalla necessità di informare l’emergenza Cryptolocker.


Che cos’è CRYPTOLOCKER?
Da quasi 3 anni a questa parte è comparso un nuovo tipo di virus che per le particolari caratteristiche con cui è stato progettato, non è rilevabile da alcun antivirus.
Si tratta dei cosiddetti ransomeware, ovvero dei software che criptano le informazioni all’interno di un pc e di tutte le cartelle e e files che sono con esso condivisi.
Nel caso specifico, Cryptolocker e varianti utilizzano la tecnica della cifratura dei file per estorcere un cospicua somma di denaro per renderli nuovamente accessibili. Tipicamente si trasmette tramite email fittizie e con allegati infettati ma anche attraverso link che infettano il pc.
Il più famoso è senz’altro Cryptolocker, ma ne esistono molte varianti, come ad esempio TeslaCrypt.
Come si prende il virus CryptoLocker?
Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
Ti capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica.
Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft ( attualmente i Mac sono immuni ) di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i tuoi file verranno criptati all’ istante.
Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.
Cosa vuol dire che i dati sono criptati?
La criptazione, in generale, serve per proteggere un qualcosa da “occhi indiscreti”, per fare un esempio pratico è come metterli in una cassaforte impenetrabile in modo da evitarne l’accesso a chi non è autorizzato.
Cryptolocker utilizza questo meccanismo di protezione a suo favore per chiudere in cassaforte i nostri dati sensibili e chiederci un ricatto per avere la chiave per aprirla.
A quanto ammonta il riscatto?
Il riscatto, soprattutto nelle ultime versioni del virus, non è solo variabile in base al numero ed al peso dei dati cifrati ma aumenta anche al diminuire del tempo. L’utente infettato viene minacciato della distruzione dell’unica chiave per aprire la cassaforte una volta scaduto il tempo. La cosa peggiore è che spesso anche se l’utente paga il riscatto non sempre si vede recapitare il codice per decrittare i documenti.





Come ci si protegge da questa minaccia?
Premesso che senza la chiave di crittografica è praticamente impossibile decriptare i dati (anche i bug scoperti nel ransomeware sono stati prontamente risolti dagli autori del software )
Vediamo alcuni suggerimenti che  si possono  attuare per diminuire il rischio :
  1. Istruzione degli utenti
  2. Prevenzione a livello sistemistico implementando regole d’utilizzo più restrittive dei personal computer
  3. Controllo quotidiano del backup
  4. Controllo almeno semestrale del corretto funzionamento del backup effettuando un restore dei dati
  5. Utilizzo del miglior sistema di antispam disponibile per la propria posta elettronica
Siamo fermamente convinti che una buona istruzione degli utenti sia la migliore arma contro questo tipo di minacce. Ecco quindi una serie di buone pratiche per evitare l’infezione:
  • Verificare l’attendibilità del mittente della mail. Soprattutto il dominio della casella di posta. (es.info(at)beantech.it è diverso da beantech(at)fakemail.it) Se è un vostro fornitore ma la mail vi desta qualche sospetto magari provate a contattarlo per sapere se veramente vi ha inoltrato quella mail. Attenzione comunque che anche se la mail ha come mittente un indirizzo a voi noto potrebbe non essere stata spedita dal reale possessore di tale indirizzo!
  • Leggere con attenzione il contenuto dell’email che spesso sono scritte in un pessimo italiano.
  • Non aprite allegati di cui non siete sicuri. Soprattutto se hanno una doppia estensione (es. .pdf .exe). Il virus per infettare il computer si nasconde sotto le false sembianze di un altro file. Ad esempio una bolla in PDF. E’ imprudente aprire una bolletta Enel se non avete un contratto con l’ Enel !!!!


  • Occhio ai link contenuti nelle mail. Possono condurvi a siti web da dove scaricate il virus. Fate molta attenzione, è sufficiente passare con il cursore sopra al link per capire dove porta. Se non vi sentite sicuri evitate!
  • Se avete un dubbio, anche minimo, nei confronti di una email chiedete a CD Bergamo.
Al momento nessun antivirus può prevenire la minaccia di cryptolocker. Si possono impostare delle regole più stringenti ma che comporterebbero un utilizzo meno “libero”  del proprio personal computer.  
Cosa fare se si viene infettati da Cryptolocker?
Se nonostante tutte veniste infettati da cryptolocker, alcuni consigli:
Spegnere immediatamente il computer infetto, la crittografia dei dati richiede un certo lasso di tempo per essere effettuata in base alla potenza del computer.  In questo modo si impedisce non solo che tutti i dati vadano crittografati ma che la crittografia avvenga anche per tutte le condivisioni disponibili in rete.  Una volta spento si possono recuperare i dati non ancora crittografati.
pagare nel più breve tempo possibile senza nessuna certezza di recuperare i propri dati
avere un backup dei dati aggiornato in modo da poter effettuare un ripristino nel più breve tempo possibile
Avere il backup potrebbe tuttavia non essere sufficiente, infatti il virus potrebbe infettare anche le cartelle presenti sull’unità di archiviazione dei backup rendendole di fatto indisponibili.
Non solo: se anche il backup non fosse infetto, non è detto che le copie siano libere da errori e che siano quindi ripristinabili.
Le migliori soluzioni
Le soluzioni più semplici sono:
  1. effettuare periodiche prove di restore dei dei dati, con cadenza almeno semestrale. Solo in tal modo si avrà la certezza che i dati salvati siano integri
  2. per tutti i dati “fondamentali” per la continuità lavorativa (e.g.: i database dei gestionali, cartelle con dati di eccezionale importanza, etc.) remotizzarne il backup, ovvero prevedere di effettuare delle copie di sicurezza presso una sede diversa da quella aziendale che dia garanzia di sicurezza, riservatezza ed integrità dei dati salvati. Anche in tal caso, una prova di restore dei dati è consigliabile.
  3. E’ bene anche ricordare che l’integrità dei dati non è solo un vantaggio per l’azienda, ma è anche un obbligo di legge, dettato dal D.Lgs 196/2003 in ambito di privacy.
Le soluzioni di CD Bergamo
In questi anni siamo riusciti a ridurre l’impatto devastante del Cryptolocker a tutti nostri clienti che subito l’infezione grazie a diversi accorgimenti messi in atto preventivamente. Sottolineiamo che da  anni abbiamo messo a punto diverse soluzioni di backup locale e remoto che hanno dato prova di estrema solidità ed i nostri tecnici sono sempre a disposizione per le prove di restore, in modo da garantire la continuità aziendali anche in caso di scenari scabrosi.


Pubblicato da alle
Etichette: , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)