Ancora lui, Cryptolocker. Il nemico pubblico numero uno di utenti e sistemisti. Cerchiamo di capire cosa possiamo fare per difenderci. Partendo da un assunto: nessuno è inattaccabile.
|
CryptoLocker è un virus informatico, precisamente un ransomware che che cripta tutti i documenti contenuti nell’hard disk del computer e nelle cartelle condivise, rendendoli quindi illeggibili. Per ottenere la chiave crittografica e sbloccare il proprio computer, i creatori del virus chiedono un riscatto.
Negli ultimi due anni Cryptolocker ha spesso giocato un ruolo da protagonista nelle attività degli amministratori di sistema, guadagnandosi una meritata medaglia d’oro per la categoria “grattacapi”. E continua a cambiare forma e modalità di diffusione, aumentando ogni volta la sua pericolosità e invasività.
Per affrontare il proprio nemico occorre conoscerlo. Ma ancora prima occorre conoscere sé stessi, quindi il proprio sistema informativo: è importante essere consapevoli dei propri limiti, perché dall’analisi delle vulnerabilità è possibile approntare una serie di contromisure in grado di fronteggiare la minaccia.
Ecco alcuni spunti che possono aiutare ad affrontare il problema:
1 – Come agisce Cryptolocker
In rete c’è già un’ampia bibliografia su Cryptolocker. Per farla breve, il Ransomware viene di solito allegato ad una email il cui testo può essere del tipo più disparato: una fattura, un ordine, una bolletta, una sanzione. I messaggi sono sempre più plausibili e diversificati, è quindi probabile che presto o tardi un utente di rete cascherà in una di queste trappole telematiche.
Una volta cliccato sull’allegato, il Ransomware comincia ad agire, criptando i documenti contenuti nel disco rigido e nelle condivisioni di rete. Le ultime versioni di Cryptolocker effettuano una scansione della rete aggredendo anche le condivisioni nascoste.
E’ un Ransomware che quindi diventa sempre più “forte”, in termini di diffusione, di plausibilità dei messaggi che lo veicolano, di potenza infettiva sui documenti informatici e di velocità di mutazione (il che lo rende difficilmente individuabile anche da antivirus aggiornati). Per questi motivi, al di là dei sistemi tradizionali di difesa dai Ransomware è necessario essere pronti con procedure di emergenza.
E’ importante chiarire che i documenti criptati non contengono il virus, e nemmeno i documenti che non sembrano infettati. Quindi, una volta debellato il Ransomware non è necessario formattare la macchina, perché la minaccia, una volta individuata, è circoscrivibile.si
2 – Protezione aggiornata
Un antivirus aggiornato e un adeguato sistema di protezione perimetrale non garantiscono sonni tranquilli, però riducono la probabilità di accadimento. E’ importante quindi verificare sempre che i sistemi di difesa siano aggiornati e soprattutto distribuiti sulla rete (in questo ambito viene in aiuto una amministrazione centralizzata degli antivirus, che consente una gestione efficace degli aggiornamenti su tutte le postazioni e un monitoraggio della rete, attraverso le “console” che ormai tutti gli antivirus di un certo livello sono in grado di fornire).
3 – Verifica periodica dei backup
Nella maggior parte degli attacchi andati a buon fine, non c’è niente da fare per i files criptati. Se si decide di non pagare il riscatto, l’unica speranza è avere delle copie di backup dei documenti colpiti. Con Windows 7 (e sistemi seguenti) c’è la possibilità di ripristinare una versione precedente del file ricorrendo alla “Shadow copy” (la sua funzionalità è adeguatamente descritta nella guida in linea di Windows). Altrimenti, si deve ricorrere ai backup tradizionali: per questo motivo, è importante analizzare sempre l’esito dei processi di backup e fare periodicamente dei test di ripristino, onde evitare di scoprire qualche errore quando ormai è troppo tardi e non si hanno salvataggi adeguati… E’ importante rilevare che i salvataggi devono essere localizzati in zone logiche ad accesso riservato, altrimenti Cryptolocker pasteggerà anche con i files di backup.
4 – Divide et impera
Se ad un utente compare sullo sfondo la famigerata schermata che segnala il Ransomware, per molte risorse è già troppo tardi: il programma ha già agito con grande virulenza sugli archivi. La prima cosa da fare, per limitare il danno, è staccare il cavo di rete dalla postazione infetta e procedere con una scansione approfondita della macchina, tramite un antivirus o un security tool che può essere copiato con il supporto di una chiavetta USB. L’obiettivo è rilevare il Ransomware e procedere alla sua rimozione.
5 – Limitare le condivisioni alle minime necessità
Visto che Cryptolocker agisce repentinamente sulle condivisioni, visibili o nascoste, che trova nella rete, è importante restringere il più possibile i punti di debolezza.
Ci si può servire di un programma come questo tool di McAfee per verificare quali punti nella rete hanno delle condivisioni. Si consiglia di farlo girare prima senza nessuna credenziale e poi come utente di dominio, ma non administrator così da verificare se ci sono delle risorse che possano essere vulnerabili alle più recenti versioni del Ransomware.
6 – Lavorare sulla cultura della sicurezza
Come visto, per molte ragioni Cryptolocker è una minaccia con cui probabilmente dovremo presto o tardi scontrarci, partendo da una situazione di crisi. E’ importante non sottovalutare questo aspetto, non per partire già battuti bensì per fronteggiarlo adeguatamente preparati e ridurre i danni al minimo. Oltre a ciò, è importante insistere sulla consapevolezza degli utenti facendo in modo che capiscano le minacce che sono alle porte e la oggettiva difficoltà nel rilevarle. Questo non salvaguarderà la rete dagli attacchi del Ransomware, ma alzerà l’asticella della soglia di rischio.
SI.net Servizi Informatici supporta l’azienda nella protezione dei dati e delle macchine procedendo all’installazione, configurazione, gestione e monitoraggio di sistemi efficaci per il controllo della sicurezza quali firewall, proxy, antivirus, antimalware e antispam.
Contemporaneamente cura l’installazione, la configurazione e la gestione dei sistemi di salvataggio automatico delle banche dati, dei backup quotidiani e del sistema di implementazione del disaster recovery.
SI.net, grazie all’utilizzo di strumenti di virtualizzazione che consentono di slegarsi dalla componente hardware, è inoltre in grado di snellire le procedure di backup e disaster recovery, tenendo copia delle immagini degli interi sistemi virtualizzati e consentendo un ripristino rapido (completo o parziale) in caso di malfunzionamento.
Per maggiori informazioni sul virus Cryptolocker, leggi i nostri precedenti articoli:
Cryptolocker: nuove criticità presenti nella versione più recente
Allarme virus per false bollette ENEL: Cryptolocker è tornato
Il virus Cryptolocker ora si spaccia per comunicato dell’INPS
Cryptolocker si traveste da file .zip
______________________________________________________
Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter e su Facebook.