Cryptolocker

Dopo aver lavorato per tre mesi su casistiche di infezioni al computer provocate da virus della famiglia Ransomware (riscatto) come CryptolockerCTB-Locker e similari, sono in grado di stimare alcune considerazioni.

Sui svariati casi analizzati, ho verificato che, per computer infetti da questo tipo di virus e in cui si è intervenuti tempestivamente, cioè nello stesso giorno, esiste una casistica di successo nel ripristino di computer pari al 60%. Purtroppo la percentuale cala in maniera drastica, se si interviene su CryptolockerCTB-Locker e similari nei giorni successivi all’infezione. Questi dati sono importantissimi per sottolineare l’importanza della tempestività e di quanto sia importante spegnere immediatamente il computer quando ci si accorge di essere stati infettati (soprattutto se il computer fa pare di una rete).

Alle varianti classiche di Cryptolocker e CTB-Locker, si aggiungono 2 nuove forme di inoculazione.

  • La prima riguarda i computer Apple. Una variante del Cryptolocker riesce a infettare anche un Mac, attraverso un Trojan che entra nel computer attraverso una pagina internet infetta. Una volta inoculato, il virus colpisce con modalità molto simili a quelle delle varianti Windows.
  • La seconda riguarda la possibilità del virus di essere inoculato in un computer Windows sfruttando le vulnerabilità del Desktop remoto, una funzione dei sistemi operativi Windows di essere gestiti a distanza. Se per errore o per incuria si lascia aperta sul server una connessione di Desktop remoto non sicura (ovvero non protetta da password sicura), la stessa connessione viene violata, ed utilizzata per inoculare il virus, che crittografa tutti i dati sul server.

In caso di infezione ricordiamo che è assolutamente mi importante la tempestività nell’intervento: appena ci si accorge dell’infezione da parte di un virus bisogna spegnere il computer immediatamente e far intervenire un tecnico. Questa semplice azione aumenta in maniera esponenziale la possibilità di recuperare i files e riduce al minimo il numero di files che potrebbero essere crittografati.

Se il vostro Computer è infetto, è meglio formattare il disco: così facendo si cancellano tutti i files danneggiati.

Se l’infezione colpisce un computer di un ufficio, dove sono presenti più computer, spegnete immediatamente tutti i computer, per evitare che l’infezione possa propagarsi dal computer “untore” agli altri. Particolare attenzione va prestata all’eventuale server, che va isolato dalla rete appena ci si rende conto dell’infezione.