Come funziona e come difendersi da Cryptolocker

Alessio Cecchi
31/08/2015

Cryptolocker fa parte di una famiglia di Virus informatici nota con il nome di Ransomware. La particolarità di questi virus è quella di cifrare i file sul PC dell’utente infettato e chiedere un riscatto (ransom in Inglese) per entrare in possesso della chiave per decifrargli.

Cryptolocker, che ad oggi infetta solo i sistemi Windows, è in questo momento la versione più diffusa e più pericolosa di Ransomware in quanto gli autori di questo virus immettono in rete continuamente nuove varianti che rendono difficile la sua identificazione ai vari Antivirus. Inoltre cryptolocker a partire da un PC infetto è in grado di cifrare anche tutti i file condivisi nella rete locale.

Non appena ci si rende conto che un PC è stato infetti è importante disconnetterlo subito dal resto della rete per evitare che l’infezione si propaghi ai file sui server e magari anche ai backup. Altro punto molto importante è avere dei backup dei propri file conservati “offline” (ad esempio su DVD, Tape o dischi USB disconnessi) per evitare che il virus possa cifrare anche questi di file.

Ad oggi l’unico modo per tentare di riavere accesso ai propri file cifrati è pagare il riscatto richiesto, opzione che sarebbe meglio evitare prendendo le precauzioni qui descritte.

Ma come si diffonde cryptolocker? In genere arriva via email, si presenta come un messaggio che invita ad aprire una fattura, oppure che ci avvisa di un pacco in giacenza o ancora di un rimborso da riscuotere. L’email invita ad aprire un allegato o a visitare un link e da lì parte l’infezione.

Già qui l’utente più attendo non dovrebbe cascare nel tranello. Lo si è detto e ripetuto in tutte le lingue, mai aprire allegati o cliccare link all’interno di email di dubbia provenienza, specie se il loro italiano non è perfetto o se provengono da un mittente con cui non abbiamo rapporti, almeno non in quella forma. Prima di aprire un link o un file sospetto chiedere in azienda se qualcuno aspetta un pacco od un rimborso, possibilmente senza allegare la stessa email sospetta altrimenti non facciamo altro che diffondere il virus ulteriormente.

Altro punto fondamentale, avere sempre un Antivirus aggiornato sul proprio PC, anche se non sempre le ultime varianti di Cryptolocker siano riconosciute a poche ore dalla loro diffusione.

Ma come mai nemmeno gli Antivirus, sia lato server che lato PC, sono in grado di difenderci al 100% da questa minaccia?

Purtroppo questo virus è gestito da criminali informatici che hanno molte risorse tecniche, ma soprattutto economiche (stimate in milioni di dollari) a disposizione, per questo sono in grado di creare varianti continue del virus e superare i controlli Antivirus nelle prime ore in cui queste varianti vengono distribuite. Questo è anche il motivo per cui può capite che delle email infette superino i controlli Antispam/Antivirus lato server arrivando fino all’utente (il quale deve fare affidamento al suo Antivirus per un ulteriore livello di difesa).

Per questo il consiglio è sempre lo stesso, non aprire un allegato o cliccare su un link semplicemente perchè il testo dell’email ci invita a farlo e dotarsi di un buon Antivirus aggiornato sul proprio PC. E per gli amministratori di sistema il consiglio è prendere misure preventive come usare programmi o politiche di sicurezza che impediscano che CryptoLocker sia lanciato. La sicurezza, specie quella informatica, non è mai fatta da un singolo strato ma da più livelli di protezione.

Utilizziamo i cookie per fornirti una migliore esperienza di navigazione, continuando ne accetti l’utilizzo. Per maggiori informazioni visita la pagina Privacy policy.

Accetta