CryptoLocker-387x300Cryptolocker e CTB-Locker sono malware e stanno colpendo centinaia di utenti in Italia.

Si tratta di un Ransomware (“ransom” in inglese significa riscatto), ovvero di un tipo di programma nocivo il cui scopo è quello di “rapire” i file contenuti in un computer criptandoli tramite la connessione ad un server di controllo tramite chiave RSA a 2048 bit.

In pratica è praticamente immune ai tentativi di decriptaggio “a forza bruta” per cui sperare di recuperare i file senza possedere la chiave è al momento impossibile, se non per le verssioni più vecchie di questo malware per le quali inviando un file criptato a questo sito www.decryptcryptolocker.com si può ottenere la chiave per decifrare i file senza pagare il riscatto.

Non sperateci troppo: il virus è in continua evoluzione, e solo se avete la “fortuna” di aver beccato una vecchia versione del virus sarete in grado di decifrare i file.

Il virus infatti renderà illeggibili i file fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

La cosa peggiore è che il virus cripta tutti i file condivisi nelle cartelle della vostra rete lan: il risultato per un’azienda che si appoggia ad un server con file condivisi è disastroso. 

Il Virus è nascosto in un allegato contenuto in un’email ricevuta. Se si apre l’allegato, il Virus si attiva.

Esempio di mail infetta:

email-ctb-locker

L’email può avere contenuti diversi, accomunati però da un’esca comune: quella di un rimborso in tuo favore. Il mittente avvisa, in un italiano senza particolari errori grammaticali, che è stato effettuato in tuo favore un rimborso a seguito della restituzione di beni da te acquistati. Solitamente l’allegato è un file con estensione . cab, . zip o .exe ma può mimetizzarsi anche da file .doc o .pdf.

Ecco dunque i suggerimenti per tutelarvi:

  • Non aprite PER NESSUN MOTIVO file contenenti allegati .zip, .cab o .exe, anche se dovessero provenire da fonti amiche
  • Mantenete un COSTANTE BACKUP dei vostri file su uno o più hard disk esterni e ricordate di scollegarli dal pc una volta terminato il backup
  • Mantenete un antivirus e anti-malware AGGIORNATI nel vostro pc (senza le precauzioni sopra indicate potrebbero non essere tempestivi e bloccare il virus troppo tardi)
  • In caso di email sospetta, cestinatela subito

Recuperare i file criptati dal virus una volta che il pc è infetto risulta ESTREMAMENTE DIFFICILE.

 

SONO STATO INFETTATO, COSA FACCIO?

Esempio di schermata, una volta visualizzata i file sono già cifrati:

ransom-screen

In caso di infezione, si raccomanda di spegnere IMMEDIATAMENTE il pc e scollegarlo dalla rete (spegnere eventualmente anche altri pc collegati alla lan) e chiamare il vostro consulente informatico di fiducia!

Non tentate di rimuovere il virus da soli, la sua rimozione distruggerebbe una chiave importante che in estremi casi potrebbe essere l’unica possibilità di recuperare i file!

Vi invito comunque a non pagare il riscatto per nessun motivo: alcuni utenti disperati per la perdita di file importanti hanno deciso di pagare, non ricevendo comunque la chiave di decodifica promessa.