Cryptolocker: anatomia di un nemico pubblico

SINCE 1611-2

Ancora lui, Cryptolocker. Il nemico pubblico numero uno di utenti e sistemisti. Cerchiamo di capire cosa possiamo fare per difenderci. Partendo da un assunto: nessuno è inattaccabile.

CryptoLocker è un virus informatico, precisamente un ransomware che blocca il funzionamento del computer criptando tutti i dati contenuti nell’hard disk infettato, rendendoli quindi illeggibili. Per ottenere la chiave crittografica e sbloccare il proprio computer, i creatori del virus chiedono un riscatto.

Negli ultimi due anni Cryptolocker ha spesso giocato un ruolo da protagonista nelle attività degli amministratori di sistema, guadagnandosi una meritata medaglia d’oro per la categoria “grattacapi”. E continua a cambiare forma e modalità di diffusione, aumentando ogni volta la sua pericolosità e invasività.

Per affrontare il proprio nemico occorre conoscerlo. Ma ancora prima occorre conoscere sé stessi, quindi il proprio sistema informativo: è importante essere consapevoli dei propri limiti, perché dall’analisi delle vulnerabilità è possibile approntare una serie di contromisure in grado di fronteggiare la minaccia.

Ecco alcuni spunti che possono aiutare ad affrontare il problema:

1 – Come agisce Cryptolocker

In rete c’è già un’ampia bibliografia su Cryptolocker. Per farla breve, il Ransomware viene di solito allegato ad una email il cui testo può essere del tipo più disparato: una fattura, un ordine, una bolletta, una sanzione. I messaggi sono sempre più plausibili e diversificati, è quindi probabile che presto o tardi un utente di rete cascherà in una di queste trappole telematiche.

Una volta cliccato sull’allegato, il Ransomware comincia ad agire, criptando i documenti contenuti nel disco rigido e nelle condivisioni di rete. Le ultime versioni di Cryptolocker effettuano una scansione della rete aggredendo anche le condivisioni nascoste.

E’ un Ransomware che quindi diventa sempre più “forte”, in termini di diffusione, di plausibilità dei messaggi che lo veicolano, di potenza infettiva sui documenti informatici e di velocità di mutazione (il che lo rende difficilmente individuabile anche da antivirus aggiornati). Per questi motivi, al di là dei sistemi tradizionali di difesa dai Ransomware è necessario essere pronti con procedure di emergenza.

E’ importante chiarire che i documenti criptati non contengono il virus, e nemmeno i documenti che non sembrano infettati. Quindi, una volta debellato il Ransomware non è necessario formattare la macchina, perché la minaccia, una volta individuata, è circoscrivibile.si

2 – Protezione aggiornata

Un antivirus aggiornato e un adeguato sistema di protezione perimetrale non garantiscono sonni tranquilli, però riducono la probabilità di accadimento. E’ importante quindi verificare sempre che i sistemi di difesa siano aggiornati e soprattutto distribuiti sulla rete (in questo ambito viene in aiuto una amministrazione centralizzata degli antivirus, che consente una gestione efficace degli aggiornamenti su tutte le postazioni e un monitoraggio della rete, attraverso le “console” che ormai tutti gli antivirus di un certo livello sono in grado di fornire).

3 – Verifica periodica dei backup

Nella maggior parte degli attacchi andati a buon fine, non c’è niente da fare per i files criptati. Se si decide di non pagare il riscatto, l’unica speranza è avere delle copie di backup dei documenti colpiti. Con Windows 7 (e sistemi seguenti) c’è la possibilità di ripristinare una versione precedente del file ricorrendo alla “Shadow copy” (la sua funzionalità è adeguatamente descritta nella guida in linea di Windows). Altrimenti, si deve ricorrere ai backup tradizionali: per questo motivo, è importante analizzare sempre l’esito dei processi di backup e fare periodicamente dei test di ripristino, onde evitare di scoprire qualche errore quando ormai è troppo tardi e non si hanno salvataggi adeguati… E’ importante rilevare che i salvataggi devono essere localizzati in zone logiche ad accesso riservato, altrimenti Cryptolocker pasteggerà anche con i files di backup.

4 – Divide et impera

Se ad un utente compare sullo sfondo la famigerata schermata che segnala il Ransomware, per molte risorse è già troppo tardi: il programma ha già agito con grande virulenza sugli archivi. La prima cosa da fare, per limitare il danno, è staccare il cavo di rete dalla postazione infetta e procedere con una scansione approfondita della macchina, tramite un antivirus o un security tool che può essere copiato con il supporto di una chiavetta USB. L’obiettivo è rilevare il Ransomware e procedere alla sua rimozione.

5 – Limitare le condivisioni alle minime necessità

Visto che Cryptolocker agisce repentinamente sulle condivisioni, visibili o nascoste, che trova nella rete, è importante restringere il più possibile i punti di debolezza.
Ci si può servire di un programma come questo tool di McAfee per verificare quali punti nella rete hanno delle condivisioni. Si consiglia di farlo girare prima senza nessuna credenziale e poi come utente di dominio, ma non administrator così da verificare se ci sono delle risorse che possano essere vulnerabili alle più recenti versioni del Ransomware.

6 – Lavorare sulla cultura della sicurezza

Come visto, per molte ragioni Cryptolocker è una minaccia con cui probabilmente dovremo presto o tardi scontrarci, partendo da una situazione di crisi. E’ importante non sottovalutare questo aspetto, non per partire già battuti bensì per fronteggiarlo adeguatamente preparati e ridurre i danni al minimo. Oltre a ciò, è importante insistere sulla consapevolezza degli utenti facendo in modo che capiscano le minacce che sono alle porte e la oggettiva difficoltà nel rilevarle. Questo non salvaguarderà la rete dagli attacchi del Ransomware, ma alzerà l’asticella della soglia di rischio.

Annunci

Pubblicato il 2 dicembre 2015, in Uncategorized con tag , , , , , , , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: