Difendersi da Cryptolocker e dagli altri ransomware

Cryptolocker è un nuovo ransomware, un pericoloso malware che “prende in ostaggio” i documenti personali dell’utente crittografandoli con una chiave RSA a 2048 bit e rendendone praticamente impossibile qualsiasi attacco brute force. Il ransomware, per sbloccare i file dell’utente, richiede il versamento di un importo variabile generalmente compreso tra 100 e 300 euro.

L’infezione da Cryptolocker si contrae, generalmente, aprendo messaggi allegati alle e-mail che si ricevono sui propri account di posta. Di solito si tratta di comunicazioni che cercano di persuadere l’utente ad aprire gli allegati nocivi (per ora gli autori di Cryptolocker hanno avviato campagne spam che fanno riferimento a documentazione relativa a spedizioni dei principali corrieri quali UPS, DHL, Fedex,…).
È quindi sempre bene porre la massima attenzione alla natura dei file allegati che si decidono di aprire. Un controllo con un servizio online qual è VirusTotal è sempre consigliabile. Gran parte dei motori antivirus sono adesso in grado di rilevare Cryptolocker.

Nel precedente articolo Cryptolocker, il malware che prende in ostaggio i file, che vi inviatiamo a rileggere, abbiamo illustrato le principali caratteristiche di Cryptolocker. Abbiamo anche spiegato che la funzionalità Versioni precedenti, integrata in Windows 7 e versioni successive, oppure l’applicazione Shadow Explorer (utile soprattutto sulle macchine Windows Vista) possono aiutare a recuperare precedenti versioni di un file crittografato da Cryptolocker.

Ma com’è possibile difendersi da Cryptolocker? In primis è ovviamente indispensabile riporre la massima attenzione ai file che si eseguono sul personal computer. Se si hanno dei dubbi è sempre bene sottoporli ad un controllo preventivo sul servizio VirusTotal. Tale strumento, infatti, consente di sottoporre a scansione il file utilizzando contemporaneamente più di 40 motori antivirus.

Per proteggere il sistema da minacce come Cryptolocker è poi possibile valutare l’adozione di un antivirus aggiornato come Avast 2014. Esso, infatti, anche nella versione free (Download di Avast 2014: l’antivirus gratis cresce ancora), integra meccanismi in grado di rilevare tempestivamente componenti ransonmware. Le tecnologie AutoSandbox e DeepScreen permettono di individuare elementi dannosi prima ancora che questi siano oggetto di analisi nei laboratori della software house.
DeepScreen permette di smascherare attività pericolose, come quelle poste in essere da Cryptolocker, riconoscendo quelle metodologie che sono utilizzate per celarsi agli occhi dell’utente, del sistema operativo e delle soluzioni antimalware installate. L’AutoSandbx, invece, provvede ad isolare tutte le applicazioni potenzialmente nocive all’interno di un apposito “recinto” cosicché non possano in alcun modo danneggiare il sistema.

C’è poi il nuovo HitmanPro.Alert, applicazione ancora in versione beta, che permette di bloccare operazioni sospette che siano tese a modificare file di sistema e documenti dell’utente. Una volta in esecuzione, HitmanPro.Alert è capace di neutralizzare automaticamente qualunque ransomware, Cryptolocker compreso.
Il software è stato sviluppato dagli stessi autori dell’ottimo HitmanPro KickStart, utile strumento per la rimozione dei ransomware (vedere, in proposito, i seguenti due articoli: Rimuovere il ransomware della polizia e le altre minacce con Hitman Pro Kickstart; Virus Polizia di Stato: rimuovere il malware con quattro diversi metodi).

Non ci sentiamo invece, almeno per il momento, di consigliare l’utilizzo dell’utilità CryptoPrevent. Essa, una volta eseguita su qualunque versione di Windows, dovrebbe consentire il blocco dell’esecuzione dei file da cartelle di sistema e directory temporanee, soprattutto nel caso in cui i file eseguibili provengano da un archivio compresso in formato ZIP o RAR. Si tratta di un’ottima idea perché consente di prevenire gli errori derivanti dal “doppio clic forsennato”. Accettanto l’imposizione di una serie di restrizioni in Windows, il sistema operativo dovrebbe bloccare – ad esempio – l’avvio dei file .exe aperti facendo semplicemente doppio clic su un file ZIP o RAR allegato ad un messaggio di posta elettronica.
Considerando che è questo uno dei modi più comuni per subire un’infezione da malware (scenario che gli sviluppatori di ransomware conoscono molto bene), CryptoPrevent dovrebbe aiutare a tracciare un’ulteriore linea di difesa.
Il problema è che le restrizioni attivate sul sistema da CryptoPrevent non funzionano in molte installazioni Windows perché vengono puntualmente ignorate. Quanto rilevato da noi stessi nel corso di numerosi test che abbiamo condotto negli ultimi giorni, non ha a che fare con CryptoPrevent e dipende esclusivamente da Windows. Abbiamo contattato Microsoft per ricevere alcuni ragguagli.