CryptoLocker è un ransomware in grado di bloccare i documenti presenti nel computer criptandoli con una password e rendendo impossibile aprire i file, un software malevolo che infetta i sistemi operativi Windows.

È stato individuato per la prima volta alla fine del 2013 e, secondo le stime, la sua scalata è stata da record: perché è riuscito ad estorcere ben 27 milioni di dollari in appena due mesi di vita. Il malware è stato ulteriormente raffinato nel 2017, quando ha messo in difficoltà molte piccole e medie aziende, inchiodando i computer dei loro dipendenti.

Cos’è CryptoLocker

CryptoLocker è un tipo di ransomware progettato per infettare i computer attraverso un Trojan. È programmato per attaccare i sistemi Microsoft Windows e bloccare l’accesso ai file finché non viene pagato un riscatto agli autori del malware.

Una volta installato, CryptoLocker crittografa determinati file rilevati sul computer infetto e visualizza una richiesta di riscatto a schermo, chiedendo centinaia di dollari in bitcoin per ricevere la chiave di decodifica.

Come funziona CryptoLocker

Il Trojan si diffonde come allegato e-mail e attraverso una botnet per la condivisione di file P2P. Viene eseguito quando la vittima apre il file ZIP allegato inserendo la password inclusa nel messaggio e tenta di aprire il PDF contenuto.

CryptoLocker sfrutta il comportamento predefinito di Windows di nascondere l’estensione dai nomi dei file per mascherare la vera estensione .EXE del file dannoso. Una volta attivo, il malware crittografa determinati tipi di file memorizzati su unità di rete locali e montate utilizzando la crittografia a chiave pubblica RSA, conservando la chiave privata solo sui server di controllo del malware.

CryptoLocker crittografa i file a un livello tale da renderli irrecuperabili, lasciando alle vittime solo due opzioni per recuperare l’accesso ai loro file: pagare il riscatto (senza una reale garanzia che il pagamento rilascerà effettivamente i file) o ripristinarli da copie di backup.

Tuttavia, gli sforzi congiunti delle forze di polizia di più paesi hanno consentito di accedere al database delle chiavi private utilizzate da CryptoLocker. Questo database è stato a sua volta utilizzato per creare uno strumento online per il recupero delle chiavi e dei file senza dover pagare il riscatto.

Chi sono i bersagli?

CryptoLocker funziona solo su PC con Windows XP, Vista, Windows 7 o Windows 8, poiché è progettato per sfruttare le funzionalità incluse in quei sistemi operativi.

Non ha effetto su dispositivi Apple, smartphone o tablet. Secondo l’FBI e altre forze dell’ordine, gli operatori di CryptoLocker hanno estorto con successo milioni di dollari in pagamenti di riscatto. Entro la fine del 2013, pochi mesi dopo il rilascio, il malware aveva già infettato più di 235.000 computer.

Come evitare CryptoLocker

Difendersi da CryptoLocker è abbastanza semplice. Prima di tutto, si consiglia di aggiornare il sistema operativo e d’installare un buon, e aggiornato, antivirus: anche se non è sempre in grado di rilevare le ultime versioni del ransomware, in costante evoluzione, rimane comunque un valido scudo.

Un altro accorgimento da adottare è ovviamente quello di evitare il click facile: questo malware si diffonde via e-mail utilizzando tecniche di ingegneria sociale, e occorre quindi fare attenzione all’estensione del file e alla provenienza dell’email.

In alcuni casi, si potrebbe venire adescati da un link veicolato tramite social network, per cui è utile prestare sempre attenzione. Invece, fondamentale è un backup dei dati (o, se già fatto, un aggiornamento), cioè una copia dei propri file.

Il backup va fatto frequentemente in un hard disk esterno, ad esempio una chiavetta USB. In questo modo se il malware dovesse infettare il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinare tutto all’occorrenza.

Ecco alcuni suggerimenti per proteggersi da CryptoLocker:

• Diffidare dai messaggi di posta elettronica provenienti da mittenti sconosciuti’, in particolare quelli che contengono file allegati.
• Disattivare le estensioni di file nascoste in Windows. Questo aiuterà a riconoscere un eventuale file dannoso usato nell’attacco.
• Predisporre un sistema di backup per i file critici. Ciò contribuirà a mitigare il danno causato non solo da infezioni malware, ma anche da problemi hardware o altri incidenti.
• Utilizzare una soluzione di sicurezza professionale in grado di neutralizzare questi attacchi.
• Se il proprio computer dovesse infettarsi e non si dispone di una copia di backup dei file, sarebbe meglio non pagare il riscatto. Pagare serve solo a trasformare il malware in un modello di business redditizio e a contribuire al successo di questo tipo di attacco.

Pagare il riscatto: sì o no?

Quando si è costretti a vedere il proprio computer bloccato e il lavoro perso, il dubbio è lecito: pagare o no il riscatto? A volte la cifra non è molto alta, si aggira intorno agli 800 dollari: è una strategia dei cybercriminali, chiedono un versamento abbordabile per dare l’impressione che il gioco valga la candela.

Inoltre, questi malware si diffondono con campagne di phishing, che puntano a far cadere nella rete il più alto numero di utenti possibile. In realtà, una volta sborsata la somma non sempre si ritorna in possesso dei propri dati.

Inoltre, pagando si alimentano sia un’organizzazione che un business criminale. Per questo anche la polizia postale suggerisce di non pagare mai il riscatto.

Leggi gli altri report sul blog di Telsy