Ramsonware: il virus “ricattatore”

In questi ultimi mesi si sta diffondendo sempre di più un nuovo virus, denominato Ramsonware, conosciuto anche come CryptoLocker.

Questo particolare virus effettua una criptazione dei file del computer (file Exel, PDF, Doc, immagini, ecc…) che ne rende impossibile la lettura o modifica, in quanto sono criptati volutamente con una chiave sconosciuta e nota solo agli sviluppatori del virus. I documenti così infettati andranno persi.
L’unico modo per ripristinare i file, ma che comunque non è sicuro che vada a buon fine, è pagare un “riscatto” agli sviluppatori, che può essere anche oneroso (1000 € circa).

Come si diffonde il virus?

CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime. Vengono, spesso, utilizzate mail di corrieri di spedizione (DHL, UPS) o invio di fatture di acquisto effettuate on-line. La mail contiene un file allegato, di solito pdf o zip, che in realtà è un file eseguibile e, una volta cliccato su di esso, viene avviato irrimediabilmente il processo di criptazione dati
La mail può anche contenere il link ad un indirizzo web, cliccando sul link si scarica in realtà il software che avvia la criptazione dati.

Una volta aperto l’allegato o cliccato sul link dannoso, verrà visualizzata una finestra di questo tipo:

crypto

Che fare?

  1. Spengere tutti i PC della rete, compreso il Server.
    La procedura di criptazione dei file è già iniziata, il virus codifica anche i file presenti nelle cartelle condivise in rete a cui può accedere il Client infetto, così facendo si evita il propagarsi della criptazione in rete.
  2. Scollegare il Client infetto dalla rete (è sufficiente scollegare il cavo di rete).
  3. Ripristinare il Client ad un punto di ripristino recente.
    Questa procedura consente di portare il PC ad una data antecedente l’infezione, ma si perde gli ultimi file salvati nel PC. E’ possibile ripristinarli solo se sono stati effettuati dei backup di questi dati.
    Se il punto di ripristino è troppo datato, passare alla fase successiva.
  4. Assicurarsi che il Client abbia un antivirus aggiornato.
    Se così non fosse aggiornare immediatamente l’antivirus.
  5. Effettuare una scansione completa con l’antivirus aggiornato.
    La scansione consente di rimuovere il virus, ma se questo ha già criptato dei file, non è più possibile ripristinarli, a meno che non siano stati precedentemente salvati in unità esterne, o nel Cloud Computing, ecc…
  6. Spengere il Client.
  7. Riaccendere gli altri Client della rete ed effettuare la stessa procedura di cui sopra. Una volta completata la scansione anche per questi PC, spengerli.
  8. Accendere a questo punto il Server ed effettuare la procedura sopra riportata. Completata la scansione anche per il Server, si può procedere a riaccendere tutti i Client.

E’ possibile recuperare i file criptati?

Come è stato scritto in precedenza, purtroppo al momento l’unico modo per recuperare i file criptati, ma che comunque non è sicuro che vada a buon fine, è pagare il riscatto richiesto.
Inoltre, anche pagando il riscatto e recuperato tutti i dati, non è detto che il virus non venga più ripreso, con conseguente pagamento di un altro riscatto.
E’ per questo che consigliamo sempre di effettuare dei backup dei dati sensibili su unità esterne, o sul Cloud Computing, in modo da avere sempre delle copie di riserva.

Come evitare di prendere il virus?

Come si può vedere, la procedura di rimozione del virus non è banale e soprattutto si rischia di perdere file anche importanti per l’azienda. Le regole per evitare che questo accada sono sempre le stesse, possono sembrare banali ma è sempre meglio ripeterle:

  • Non aprire mai allegati da eMail sconosciute e di dubbia provenienza
  • Tenere sempre un antivirus aggiornato
  • Effettuare regolarmente gli aggiornamenti al Sistema Operativo

Inoltre, per chi usa ancora Windows XP, ricordiamo che Microsoft ha cessato il supporto di questo Sistema Operativo a partire da Aprile 2014, ciò significa che non sono più stati rilasciati aggiornamenti e il pc non è più protetto dall’attacco di virus, spyware e altro software dannoso che può acquisire informazioni personali dell’utente. Si consiglia quindi di effettuare al più presto l’aggiornamento ad un Sistema Operativo più recente.