Cryptolocker, il malware che prende in ostaggio i file

I cosiddetti “ransomware” sono una particolare categoria di malware che “prende in ostaggio” il sistema chiedendo poi il versamento di un riscatto (“ransom“, in inglese, significa proprio “riscatto“). Di esempi ne abbiamo conosciuti parecchi: tra i più comuni ci sono i vari virus Polizia di Stato, Guardia di Finanza, Polizia Postale, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Polizia Penitenziaria che ancor’oggi vengono segnalati da numerosi utenti italiani; a tal proposito suggeriamo la lettura di questi articoli.

Sulla scena internazionale sta cominciando a diffondersi a macchia d’olio Cryptolocker, un ransomware che provvede a crittografare i documenti dell’utente memorizzati sul personal computer in modo tale che non possano essere più accessibili. La passphrase che consente di decodificare i file non viene fornita ed anzi, in perfetto stile ransomware, viene richiesto il versamento di un importo compreso tra 100 e 300 dollari.
Se l’utente non effettuerà il versamento della quota richiesta come riscatto, la chiave utilizzata per cifrare i suoi verrà definitivamente cancellata dai server dei criminali informatici autori di Cryptolocker. Al malcapitato utente, vengono solitamente concesse 72-96 ore per conferire l’importo in denaro.
Quest’applicazione consente, in caso d’infezione, di stabilire l’elenco completo dei file che sono stati cifrati dal malware.

Il problema è che allo stato attuale non c’è modo di decodificare i file crittografati da Cryptolocker. Il malware, infatti, utilizza una chiave RSA a 2048 bit che rende praticamente impossibile effettuare un attacco brute force. L’unica maniera per tentare di ripristinare i propri dati, consiste nel ricorrere alla funzionalità Versioni precedenti integrata nelle più recenti versioni di Windows. A tal proposito, suggeriamo la lettura dell’articolo Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”. Grazie a “Versioni precedenti” e Shadow copy, si potranno recuperare le copie di file memorizzate in numerose cartelle.
In alternativa è possibile ricorrere al programma gratuito Shadow Explorer (vedere l’articolo Recuperare file utilizzando la funzione Shadow Copy). Non è comunque garantito di riuscire a recuperare una precedente versione dei propri file.

L’infezione da Cryptolocker si contrae, generalmente, aprendo messaggi allegati alle e-mail che si ricevono sui propri account di posta. Di solito si tratta di comunicazioni che cercano di persuadere l’utente ad aprire gli allegati nocivi (per ora gli autori di Cryptolocker hanno avviato campagne spam che fanno riferimento a documentazione relativa a spedizioni dei principali corrieri quali UPS, DHL, Fedex,…).
È quindi sempre bene porre la massima attenzione alla natura dei file allegati che si decidono di aprire. Un controllo con un servizio online qual è VirusTotal è sempre consigliabile. Gran parte dei motori antivirus sono adesso in grado di rilevare Cryptolocker.

Il video seguente, realizzato dai tecnici di Sophos, mostra il malware Cryptolocker in azione:

A questo indirizzo vengono suggeriti alcuni criteri di protezione locali che potrebbero rivelarsi utili per impedire l’avvio del malware. Il blocco dell’esecuzione dei file .exe estratti da archivi Zip e RAR, ad esempio, può aiutare a difendersi da un gran numero d’infezioni.