Cryptoloker è uno dei virus più distruttivi in circolazione negli ultimi anni. Dal punto di vista del meccanismo d’infezione, è un virus di tipo trojan horse, appartenente alla famiglia dei Ransomware: virus progettati per estorcere denaro al proprietario del sistema infetto. Questo virus, generalmente, si diffonde aprendo un allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, e-mail di phishing, (ad es. fatture ENEL, SKY, Telecom, estratti conto Poste Italiane, documenti di trasporto di vari corrieri o negozi online ecc.) o, in alcuni casi, attraverso l’esecuzione di un programma nocivo presente su un sito web. L’allegato alla e-mail è un file compresso contenente un eseguibile con un’icona e un estensione pdf (del tipo nomefile.pdf.exe) che, sfruttando la caratteristica dei recenti sistemi operativi di non mostrare, per impostazione predefinita, le estensioni dei nomi dei file, appare come un normale allegato pdf compresso.
Cliccando sull’allegato, il software si installa nel sistema e, modificando il registro, si inserisce nell’avvio automatico. Successivamente si collega ad un server di comando e controllo che genera una chiave asimmetrica a 2048 bit e invia la chiave pubblica al computer infetto che inizia così a cifrare i file delle unità collegate e visibili e le condivisioni di rete. Il processo cifra solo alcuni tipi di dati come documenti di Microsoft Office, open document, pdf, immagini e filmati, file di Autocad, database di programmi e posta elettronica. A questo punto viene visualizzato un messaggio nel quale si informa l’utente che i suoi dati sono stati cifrati e non sono più accessibili, chiedendo il pagamento di un riscatto, da effettuare entro un lasso di tempo, attraverso un metodo di pagamento non tracciabile, per consentire all’utente il download di un software di decifratura contenente la chiave privata preimpostata.
Anche rimuovendo Cryptoloker i file rimangono criptati in modo praticamente inviolabile.

   A causa della lunghezza della chiave utilizzata, si considera praticamente inefficace un attacco di tipo forza bruta per ottenere, senza pagare, la chiave necessaria alla decifratura dei file.
Pagare il riscatto, oltre che legalmente e moralmente sbagliato, nonché molto oneroso, non offre alcuna garanzia di risoluzione del problema ed espone l’utente al rischio di ulteriori ricatti. I forum sull’argomento sono pieni di testimonianze di utenti che hanno pagato e non hanno ricevuto la chiave di decriptazione o, hanno recuperato i dati solo in parte o, dopo qualche tempo sono stati nuovamente ricattati.
I principali produttori di antivirus hanno messo appunto dei tools di decriptazione specifici, efficaci, però, solo per alcune forme di di Cryptoloker. Ad oggi esistono più di 50 varianti del virus. Nonostante le suite di sicurezza siano progettate per individuare e rimuovere tali minacce, può capitare che Cryptoloker non sia individuato del tutto o lo sia solo dopo che la cifratura è iniziata o è stata completata, soprattutto in presenza di una nuova versione sconosciuta.

   Al momento, il modo migliore per difendersi da questo malware è prevenirne l’infezione e salvaguardare i propri dati adottando le seguenti regole:
   • non eseguire allegati di e-mail sospette,
   • visualizzare l’estensione dei nomi dei file all’interno di Esplora Risorse,
   • verificare l’host dei link prima di effettuare il click dal browser,
   • evitare l’utilizzo di cartelle condivise in reti pubbliche,
   • aumentare le restrizioni delle regole di sicurezza per l’esecuzione di programmi,
   • effettuare backup periodici su dischi esterni.
In particolare, effettuare copie di backup dei propri dati più importanti su sistemi cloud o su unità esterne rimovibili dal sistema a backup effettuato è fondamentale per la salvaguardia e la conservazione dei propri dati. Il cloud però, ha ancora, in molti casi, dei limiti legati alla velocità di esecuzione (dovuta soprattutto alla mole dei dati e alla velocità di connessione utilizzata) e all’immediata fruizione e riservatezza dei dati che, si sa, non sono più al 100% in mano al proprietario legittimo.

   È necessario effettuare backup periodici su unità esterne rimovibili, collegate al sistema solo durante il backup o nelle eventuali fasi di verifica e recupero dei dati o ogni qualvolta si ha necessità di accedere ai dati in esse conservati, avendo cura, prima, di disconnettere il sistema dalla rete pubblica, in modo tale che, durante i periodi in cui tali unità sono necessariamente connesse, l’intero sistema non sia raggiungibile dall’esterno.
L’esecuzione puntuale di questa semplice e allo stesso tempo articolata procedura, a comparti stagni, garantisce la conservazione e la salvaguardia dei dati dell’utente costituendo un’importante soluzione di disater recovery e il miglior strumento di difesa preventiva dagli attacchi Cryptoloker.
Affinchè risulti efficace, questa procedura deve essere effettuata sempre in modo puntuale e corretto. Purtroppo, se effettuata manualmente, questo è molto difficile e richiede un enorme dispendio di tempo ed energie.
Per questo motivo, SOLIT ha sviluppato una soluzione completamente automatizzata di backup a comparti stagni scalabile, asseconda della struttura del sistema informatico su cui viene implementata, e personalizzabile, in base alle esigenze lavorative del cliente.

   La necessità di implementare processi interni alle aziende volti a rendere più sicura la privacy degli utenti e la gestione dei dati personali e/o sensibili, adeguamento al Regolamento Generale sulla Protezione dei Dati (UE) 2016/679, ci ha spinti a rendere la nostra soluzione di backup a comparti stagni CONFORME al GDPR.

   Backup Stagno anti Cryptoloker di SOLIT è un sistema di sicurezza preventivo che sfrutta la sinergia dell’applicazione integrata e puntuale di strumenti di terze parti e funzionalità di sistema, implementando una serie di restrizioni dei criteri di sicurezza locale, la creazione automatizzata di copie di backup dei dati in un sistema stand-alone su supporti o unità rimovibili, non raggiungibili al di fuori dei periodi di esecuzione dei backup.

   In attesa di una protezione efficace da parte degli antivirus e dei sistemi operativi, o di tools di decriptazione validi per tutte le versioni del virus, la presenza di un backup di ricostruzione valido inaccessibile dalla rete, unitamente ad un’appropriata politica di sicurezza, rappresenta il miglior sistema per la salvaguardia dei dati.

   Backup Stagno anti Cryptoloker di SOLIT è il nostro personale contributo alla lotta a questa forma di crimine informatico.

SOLIT