|
01/12/2015 08:43:53
Ciao a tutti,
negli ultimi mesi ho dovuto affrontare più volte questo virus informatico e, purtroppo ho constatato che la sua fortuna sta nell`ignoranza degli utenti.
Quindi ecco che scrivo questo post per prevenire il "sequestratore" di file che nell`ultima settimana è più attivo che mai (3 clienti per circa 2 TB di dati criptati e un blocco totale di centinaia di utenti)
Cryptolocker non è un virus, è un software malvagio che l`utente inconsapevole decide di eseguire
Non essendo un virus non può essere intercettato a priori da un antivirus
Viene inviato con delle email molto plausibili e si presenta come file allegati zip, pdf o doc
L`email arriva da un vostro contatto già infettato da un botnet che vi manda una email tipo:
In allegato la fattura per l`intervento di riparazione del vostro ....... etc
Solitamente sono inviate alle mail-box degli uffici amministrativi delle aziende ma anche ai privati con contenuti molto veri e scritti in un ottimo italiano
Purtroppo, a questo punto gli utenti ci cascano e aprono l`allegato pdf ma che in realtà è un eseguibile mascherato...
Poichè l`utente ha deciso di aprire il file eseguibile e quest`ultimo non è classificato come virus, gli antivirus comuni lasciano fare
Cryptolocker individua sul PC alcuni tipi di file e li cripta usando una chiave di cifratura complessa che attiva sul sito dell`hacker
Contemporaneamente, leggei i dischi di rete sui server e i cloud drive (Goolge Drive, OneDrive, ...etc) e anche lì cripta i file che gli interessano
Durante il processo apre una schermata sul PC dell`utente e chiede un riscatto in valuta elettronica (BitCoin) per fornire all`utente la chiave di decriptazione dei file
Purtroppo impone anche un conto alla rovescia variabile di 4-8 ore fino ad un massimo di 72 ore
Se entro il termine temporale non viene pagato il riscatto la chiave di cifratura verrà cancellata e i file saranno irrecuperabili
Cosa fare per prevenirlo ?
-Non aprite email con zip, pdf o doc allegati che non vi aspettate e chiedete conferma al mittente
-Utilizzate un antivirus con la funzione di Lockdown del PC, ovvero fissa la configurazione degli eseguibili autorizzati impedendo l`esecuzione di programmi nuovi, il processo di autorizzazione dei nuovi programmi può avere più fasi di approvazione
-Fai sempre il backup dei tuoi file in un disco esterno che colleghi solo per eseguire il backup
-Attiva la funzione delle copie Shadow di Windows, usi più spazio del tuo disco ma puoi salvarti più versioni e ripristinarle facilmente
Cosa fare se lo hai preso ? 
Fai una scelta: paghi l`hacker entro il tempo o perdi i file
L`alternativa perdere i file recenti e ripristinare i file da un backup
In ogni caso non chiudete l`eseguibile e scollegate il cavo di rete, poi chiedete aiuto al vostro esperto informatico.
State attenti, occhi aperti e un backup ... SEMPRE AGGIORNATO !
Per chi volesse approfondire:
http://articoli.softonic.it/come-sconfiggere-cryptolocker-virus
Una precisazione ...
Cryptoloker = CATTIVO
BitLocker = BUONO
BitLocker è una funzione di Windows per cifrare i dati che si vuole proteggere con un sistema di cifratura
http://windows.microsoft.com/it-it/windows/protect-files-bitlocker-drive-encryption# 1TC=windows-8
|
|
01/12/2015 16:10:49
grazie per l`avviso e la spiegazione
|
|
01/12/2015 17:12:36
Di nulla, se posso evitare dei guai agli amici lo faccio con piacere e poi i soldini servono per i giocattoli non per pagare gli hacker ....
|
|
01/12/2015 18:22:01
Grande pastrocchio, molte grazie!!! 
|
|
02/12/2015 10:07:19
Ottimo post!
Mi è capitato di leggere quel tipo di mail ma fortunatamente non ci sono cascato!
Avviso i naviganti che invece c`è un brutto virus javas.exe manco in assistenza sono riusciti a levarlo senza formattare!
|
|
02/12/2015 10:23:33
Ciao a tutti ragazzi,
l`ufficio amministrativo di mia mamma è stato colpito a metà lugli da questo virus, una mail finta di una bolletta enel! purtroppo aperta .
avevano un backup vecchissimo ed hanno perso molti mesi di lavoro!
|
|
02/12/2015 16:16:09
Grande Pastrocchio!Grazie mille
|
|
02/12/2015 16:33:26
domanda da ormai... utonto non più informatico... lo start del fino zip AKA eseguibile, prescinde dal profilo dell`utente esecutore?
In sostanza, se l`utente non può installare... viene installato ugualmente?
|
|
02/12/2015 17:46:02
non si installa nulla, è un eseguibile auto consistente con estensione modificata
in sintesi, se l`utente ha i permessi per eseguire un programma "portable" è fatta
L`unica protezione preventiva è autorizzare un set di programmi installati bloccando le modifiche e i nuovi eseguibili
Se autorizzi winzip è ok ma se nello zip c`è un EXE conosciuto e non autorizzato, l`antivirus furbo lo blocca
prova a cercare firefox portable, vedrai che è un file .paf auto estraente che crea una cartella con l`exe e i file necessari ma non installa nulla nel sistema, al limite fa solo una cartella e un`icona di link al programma
Cryptolocker è uguale, il problema è che sequestra i file criptandoli e se chiudi l`eseguibile con il countdown ti sei giocato i file
|
|
02/12/2015 19:06:55
|
|
03/12/2015 16:57:00
|
|
03/12/2015 23:42:43
Grazie.
Ma si presenta solo sotto forma di allegato?
|
|
04/12/2015 08:43:03
Al momento si... MA la diffusione avviene in 2 fasi
Scarichi un botnet con qualche programma infetto e Cryptoloker viene scaricato nella cache temporanea del profilo utente, poi il botnet manda una mail a te stesso con l`allegato
Il botnet nel PC infetto legge la rubrica delle email e manda i dati all`hacker che crea una lista di possibili contatti a cui inviare l`email es.
amministrazione@...
ufficio.fornitori@...
contratti@...
Tutti contatti che ricevono normalmente file pdf e doc da te MA non li manda con la tua email altrimenti si scoprirebbe quale PC è infetto
Inoltre esistono dei sistemi di posta che ti danno una mail temporanea a tempo gratis per 10 minuti poi la casella di posta si annulla...
Diabolico !
Difficilmente il PC infetto e il suo utente sono il bersaglio... Inoltre non è detto che il PC infetto sia uno solo ...
Attualmente ricevo 4-5 email al giorno e stiamo indagando per capire quale PC è la sorgente, il problema è che solo in azienda siamo 250 e con i clienti che possono avere il mio contatto arriviamo ad un numero imprecisato
|
|
04/12/2015 22:42:51
 Sti cazzi...
|
|
09/12/2015 17:50:17
Pazzesco, non ci dormono la notte!
|
|
09/12/2015 19:39:02
Ulteriore variante
Arriva via email un vero documento Word, Excel o PDF che contiene una macro
All`apertura del documento, viene chiesto di attivare la macro per al compilazione del documento
La macro attiva il download di Cryptoloker che, per essere più veloce cripta solo la parte iniziale dei file che trova...
Non gli serve criptare tutto il file ma solo pochi Kb per sequestrare foto, documenti, database e tutto quello che ha nella lista bersaglio
|