Nuovo virus informatico, colpite decine di aziende

Dopo il Phishing, la lotteria Spagnola, la truffa dei cuccioli venduti online e “fermi” alla dogana, un nuovo pericolo minaccia la sicurezza gli internauti: Cryptolocker

Dopo il Phishing, la lotteria Spagnola, la truffa dei cuccioli venduti online e “fermi” alla dogana, un nuovo pericolo minaccia la sicurezza gli internauti: Cryptolocker.
Cryptolocker è un virus del tipo “Cavallo di Troia” che si inocula attraverso l’avvio di un file eseguibile infetto comparso già nel corso del 2013 e il cui picco di diffusione nel nostro Paese si è registrato negli ultimi mesi. Non appena eseguito, il virus si inocula nel sistema infettandolo e, dopo tentativi di connessione a server remoti, viene avviata la cifratura dei file nei formati più comuni rendendoli inutilizzabili dall’utente.
Le tecniche di diffusione del virus possono essere varie e non si discostano minimamente dalle medesime già note da oltre 15 anni agli esperti del settore. Il sistema più frequente è quello dell’inoltro di un allegato tramite il servizio di posta elettronica: il doppio clic, anche se effettuato inavvertitamente, basta a infettare il sistema informatico. Un altro sistema, molto più sofisticato, consistete nell’impiego di tecniche di ingegneria sociale attraverso le quali, studiando le abitudini della vittima, i malfattori mettono a punto elaborate strategie abbastanza credibili da trarre in inganno gli utenti spingendoli a eseguire il file infetto. A questa categoria appartiene la tecnica diffusa nelle ultime settimane, quando svariate aziende cittadine del settore delle spedizioni si sono viste recapitare delle comunicazioni apparentemente provenienti da un noto corriere espresso. Il testo delle comunicazioni invitava i professionisti a cliccare su un link che riconduceva a una fedele riproduzione del sito web ufficiale del citato corriere. Qui, attraverso dettagliate istruzioni ingannevoli, l’utente veniva spinto a scaricare ed eseguire un file rivelatosi poi essere il cavallo di troia descritto sopra.

Come funziona Cryptolocker – L’intero fenomeno si suddivide in quattro fasi. La prima è finalizzata all’inoculazione del virus attraverso una delle note tecniche di diffusione. Durante la seconda fase, se presente una connessione a Internet, il sistema effettua svariate connessioni a dei server localizzati in territorio straniero. Non sempre queste connessioni sono rilevate dai più comuni antivirus e segnalate come attività sospetta non generata dall’utente. A questo punto ha inizio la terza fase dell’infezione: tutti i file nei formati più comuni sono sottoposti a un apparente processo di cifratura detta a chiave asimmetrica che li rende comunque inutilizzabili all’utente. La scelta di solo una selezione di formati di file si ritiene sia mirata ad ottimizzare i tempi di cifratura che comunque richiedono svariati minuti e potenza di calcolo che potrebbe fare insospettire l’utente.
La quarta e ultima fase, infine, è la richiesta del pagamento di un somma di denaro/bitcoin, con la conseguente promessa di poter scaricare un software che, attraverso il procedimento inverso, consente di rientrare in possesso dei propri file. L’avviso è reso visibile all’interno di ogni directory contenente file sottoposti al processo di cifratura.

I consigli degli esperti – Al fine di evitare qualsiasi possibilità di incorrere nell’infezione del Cryptolocker, così come di qualsiasi altro virus informatico, gli esperti della Polizia Postale e delle Comunicazioni raccomandano di non aprire MAI allegati provenienti da mittenti sconosciuti, specialmente se essi consistono in file eseguibili, e non seguire MAI istruzioni delle quali non si sia davvero sicuri, men che meno quando  queste provengano da terzi. Una importante precauzione, che in una ipotetica scala di priorità poniamo al secondo posto, è la progettazione e attuazione di una adeguata politica di backup dei dati, nei casi più importanti magari affidandosi alla consulenza di professionisti del settore. Raccomandazione di eguale importanza è quella di aver cura di tenere quanto più possibile separati i dati strettamente privati (foto digitali personali, documenti riservati, video privati) dall’attività di navigazione del web, razionalizzando così l’uso dei dispositivi presenti in casa o in ufficio.
Le ultime versioni dei Sistemi Operativi più diffusi consentono inoltre la possibilità di attivare la funzione “Versioni precedenti”, anche detta “Shadow copy”, consistente in un backup di tipo incrementale dei file scelti dall’utente. Tramite questa caratteristica, in caso di compromissione del contenuto del sistema informatico, è possibile ripristinare versioni precedenti dei file scelti dall’utente.