![varie-511352.610x431[1]](https://www.senzalinea.it/giornale/wp-content/uploads/2016/02/varie-511352.610x4311-300x212.jpg)
Negli anni ne abbiamo visti tanti di virus informatici,”I love You”,”Storm Worm”,”Melissa” e tanti altri,che nonostante programmi di protezione altamente efficaci,riuscivano nell’intento di bloccare in pochi istanti,il sistema operativo.E’ da più di un anno che circola,invece,un trojan della categoria “Ramsonware” che colpisce i sistemi operativi Windows,il suo nome è Cryptolocker!Andiamo per gradi e vediamo nello specifico cosa è,come ci si infetta e sopratutto come proteggerci.
Catalogato nella categoria Trojan,la diffusione di questo virus informatico avviene come allegato tramite email,spesso da un indirizzo presente nella nostra rubrica o quantomeno da un mittente conosciuto.L’allegato si può presentare come un file compresso,dove all’interno c’è un file eseguibile (.exe) con un’icona ed estensione .pdf.Questo perchè i sistemi Windows non mostrano di default l’intera estenzione di un file che in realtà è come segue Nomefile.pdf.exe.Quindi è naturale che se arriva una mail dal vostro commercialista o dall’amico fidato,non troverete nulla di male nell’aprire un file che anche windows considera sicuro!Una volta avviato il file,il software si installa nella cartella documenti,con un nome casuale e aggiunge una chiave al registro di configurazione che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.Detto questo,quindi,una volta attivato il virus,tutti i file del nostro computer vengono cryptati senza possibilità di recupero!Per completezza c’è da dire che oltre al sovracitato file .zip nell’ultimo periodo gli allegati si presentano sia come documenti pdf che come documenti office (.doc o .txt).
Come intuito le conseguenze sono devastanti,perchè anche il virus è rimosso in tempo,i file criptati rimangono tali,rendendo quasi impossibile il loro recupero e molto spesso anche pagando quanto indicato,le chiavi per decriptare i file risultano false!Quindi come proteggersi?
La prevenzione,per ora,risulta essere fra le poche e reali armi che si possono usare contro il Cryptolocker,diffondendosi esclusivamente tramite mail,il nostro consiglio è di evitare di aprire allegati anche se provenienti da utenti conosciuti.Contattare il mittente e chiedere se ci ha mandato un allegato.Tenere sempre aggiornato l’antivirus,Windows e i browser di navigazione.Avere sempre un backup su supporto esterno,hard disk o chiavetta usb,aggiornandolo almeno due volte a settimana.Evitare di usare chiavette o altri supporti esterni di altre persone,che a loro insaputa potrebbero essere state infettate.Evitare di scaricare file eseguibili da siti non conosciuti.Al fine di non fare doppio click su file e allegati in formato .exe mascherati da .PDF, .JPG, .DOCX, ecc., è bene attivare la visualizzazione delle estensioni dei file. Per farlo, aprite una qualsiasi cartella e mettete questa spunta nella scheda Visualizza, in alto.
![Estensioni-file-525x207[1]](https://www.senzalinea.it/giornale/wp-content/uploads/2016/02/Estensioni-file-525x2071-300x118.png)
Cosa fare una volta preso il virus?Molti consigliano di pagare il “riscatto“,ma come già detto spesso le chiavi sono false e i file restano criptati,se preso in tempo,nel 90% delle volte,un buon tecnico riesce nell’arduo compito di recuperare i file e debellare il virus,nell’immediato i consigli che vi possiamo dare sono i seguenti:
-Staccare IMMEDIATAMENTE il computer dalla rete (Sopratutto se è una rete aziendale,altrimenti rischierete di infettare anche gli altri computer)
-Scollegare tutte le periferiche usb
-Non collegare assolutamente chiavette o hard disk esterni
-Chiamare il tecnico di fiducia entro le 24 ore
Tutti i metodi e i programmi che in rete vi promettono miracoli sono da evitare!
