26949 Letture

Difendersi da Cryptolocker e dagli altri ransomware

Cryptolocker è un nuovo ransomware, un pericoloso malware che "prende in ostaggio" i documenti personali dell'utente crittografandoli con una chiave RSA a 2048 bit e rendendone praticamente impossibile qualsiasi attacco brute force. Il ransomware, per sbloccare i file dell'utente, richiede il versamento di un importo variabile generalmente compreso tra 100 e 300 euro.

L'infezione da Cryptolocker si contrae, generalmente, aprendo messaggi allegati alle e-mail che si ricevono sui propri account di posta. Di solito si tratta di comunicazioni che cercano di persuadere l'utente ad aprire gli allegati nocivi (per ora gli autori di Cryptolocker hanno avviato campagne spam che fanno riferimento a documentazione relativa a spedizioni dei principali corrieri quali UPS, DHL, Fedex,...).
È quindi sempre bene porre la massima attenzione alla natura dei file allegati che si decidono di aprire. Un controllo con un servizio online qual è VirusTotal è sempre consigliabile. Gran parte dei motori antivirus sono adesso in grado di rilevare Cryptolocker.


Nel precedente articolo Cryptolocker, il malware che prende in ostaggio i file, che vi inviatiamo a rileggere, abbiamo illustrato le principali caratteristiche di Cryptolocker. Abbiamo anche spiegato che la funzionalità Versioni precedenti, integrata in Windows 7 e versioni successive, oppure l'applicazione Shadow Explorer (utile soprattutto sulle macchine Windows Vista) possono aiutare a recuperare precedenti versioni di un file crittografato da Cryptolocker.

Ma com'è possibile difendersi da Cryptolocker? In primis è ovviamente indispensabile riporre la massima attenzione ai file che si eseguono sul personal computer. Se si hanno dei dubbi è sempre bene sottoporli ad un controllo preventivo sul servizio VirusTotal. Tale strumento, infatti, consente di sottoporre a scansione il file utilizzando contemporaneamente più di 40 motori antivirus.


Per proteggere il sistema da minacce come Cryptolocker è poi possibile valutare l'adozione di un antivirus aggiornato come Avast 2014. Esso, infatti, anche nella versione free (Download di Avast 2014: l'antivirus gratis cresce ancora), integra meccanismi in grado di rilevare tempestivamente componenti ransonmware. Le tecnologie AutoSandbox e DeepScreen permettono di individuare elementi dannosi prima ancora che questi siano oggetto di analisi nei laboratori della software house.
DeepScreen permette di smascherare attività pericolose, come quelle poste in essere da Cryptolocker, riconoscendo quelle metodologie che sono utilizzate per celarsi agli occhi dell'utente, del sistema operativo e delle soluzioni antimalware installate. L'AutoSandbx, invece, provvede ad isolare tutte le applicazioni potenzialmente nocive all'interno di un apposito "recinto" cosicché non possano in alcun modo danneggiare il sistema.

C'è poi il nuovo HitmanPro.Alert, applicazione ancora in versione beta, che permette di bloccare operazioni sospette che siano tese a modificare file di sistema e documenti dell'utente. Una volta in esecuzione, HitmanPro.Alert è capace di neutralizzare automaticamente qualunque ransomware, Cryptolocker compreso.
Il software è stato sviluppato dagli stessi autori dell'ottimo HitmanPro KickStart, utile strumento per la rimozione dei ransomware (vedere, in proposito, i seguenti due articoli: Rimuovere il ransomware della polizia e le altre minacce con Hitman Pro Kickstart; Virus Polizia di Stato: rimuovere il malware con quattro diversi metodi).


Non ci sentiamo invece, almeno per il momento, di consigliare l'utilizzo dell'utilità CryptoPrevent. Essa, una volta eseguita su qualunque versione di Windows, dovrebbe consentire il blocco dell'esecuzione dei file da cartelle di sistema e directory temporanee, soprattutto nel caso in cui i file eseguibili provengano da un archivio compresso in formato ZIP o RAR. Si tratta di un'ottima idea perché consente di prevenire gli errori derivanti dal "doppio clic forsennato". Accettanto l'imposizione di una serie di restrizioni in Windows, il sistema operativo dovrebbe bloccare - ad esempio - l'avvio dei file .exe aperti facendo semplicemente doppio clic su un file ZIP o RAR allegato ad un messaggio di posta elettronica.
Considerando che è questo uno dei modi più comuni per subire un'infezione da malware (scenario che gli sviluppatori di ransomware conoscono molto bene), CryptoPrevent dovrebbe aiutare a tracciare un'ulteriore linea di difesa.
Il problema è che le restrizioni attivate sul sistema da CryptoPrevent non funzionano in molte installazioni Windows perché vengono puntualmente ignorate. Quanto rilevato da noi stessi nel corso di numerosi test che abbiamo condotto negli ultimi giorni, non ha a che fare con CryptoPrevent e dipende esclusivamente da Windows. Abbiamo contattato Microsoft per ricevere alcuni ragguagli.

  1. Avatar
    QUADRA
    20/02/2014 18:14:32
    L'ho appena scoperto da un cliente. te ne accogi dalla data: tutti i file cominciano ad avere la stessa data (quella attuale). Ora ho spento tutto e sto cercando una soluzione
  2. Avatar
    ethan
    26/01/2014 20:09:29
    infatti non è un'operazione di 5 minuti, ma il tutto è già avvenuto quando il malcapitato utente vede la schermata di richiesta riscatto. inoltre è noto che la chiave di decrittazione si trova sui server command&control dei malintenzionati.
  3. Avatar
    mario1
    26/01/2014 18:45:24
    scusate ma crittare tutti i files di un pc non è un'operazione di 5 minuti... possibile che nessun utente abbia mai avuto problemi nell'aprire, a "lavori in corso", un file già compromesso ? mi viene da pensare che durante la fare di crittazione il virus decritti "on the fly" i file che l'utente cerca di aprire, per nascondere la sua attività fino a che questa non sia conclusa.... e che quindi il virus stesso contenga, oltre alla chiave per chiudere, anche la chiare per aprire che gli addetti ai lavori diano un'occhiata please
  4. Avatar
    farloz
    15/12/2013 20:14:53
    Basterebbe mettere in galera quei delinquenti e buttare la chiave, ma invece no, poverini........ c'è sempre qualcuno che li difende. Questi delinquenti lavorano in ombra, ma non sono infallibili, ci sono i mezzi per stanarli. E ci sono le leggi da applicare, ma le magistrature di certi paesi lasciano molto a desiderare.
  5. Avatar
    Michele Nasi
    26/11/2013 14:49:28
    Come scritto nell'articolo, i file NON si recuperano perché è sconosciuta la chiave RSA 2048 bit utilizzata per cifrarli.
Difendersi da Cryptolocker e dagli altri ransomware - IlSoftware.it