Gentile CLIENTE,
Le scriviamo per ricordare di effettuare e verificare sempre le copie di backup del suo Gestionale e dei Files di lavoro: la continua evoluzione delle versioni più recenti di virus/malware talvolta non vengono rilevate dagli Antivirus e questi possono non essere aggiornati in tempo reale.
Il backup dei dati è spesso l'unica soluzione per ripristinare situazioni irrimediabilmente compromesse!
CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.
Al primo avvio, il software si installa nella cartella Documents and Settings (o "Users", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, rilocandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.
| Come mitigare il rischio |
| - Gli utenti dovrebbero porre la massima attenzione alla natura degli allegati che decidono di aprire, in modo particolare al contenuto degli ZIP. Non dovrebbero aprire allegati con estensione .cab, .exe, .lnk. ecc. a meno di non essere estremamente sicuri che la mail sia reale. |
| - Effettuare frequentemente il backup (backup offline, o comunque non accessibile via rete con credenziali utente o nulle). |
| - Aggiornare frequentemente il database del proprio Antivirus, attivando dove possibile i controlli aggiuntivi: controllo delle applicazioni, controlli proattivi, protezione della navigazione e controllo della posta. |
| - Munirsi di soluzioni di controllo contenuti a livello gateway (UTM firewall, content security gateways) in modo da poter controllare/filtrare il contenuto del traffico mail o web. |
| - Inibire, ove possibile, la ricezione di file eseguibili nelle caselle di posta elettronica ed il download di eseguibili dal web. Questa operazione eleva notevolmente il livello di sicurezza della rete, senza interferire con l'attività quotidiana degli utenti che, in genere, non presuppone il download, l'installazione o l'esecuzione di file. |
| - Attivare funzionalità anti APT (Advanced Persistent Threat) sulle soluzioni di sicurezza. Queste possono rilevare agevolmente una nuova minaccia eseguendo preventivamente il file, su macchine virtuali remote al posto dell'utente, reagendo in base al comportamento riscontrato. Le soluzioni anti APT sfruttano gli automatismi di analisi e l'alta diffusione dei malware come Cryptolocker come arma per impedirne l'accesso alla vostra rete. |
| - Attivare, ove possibile, soluzioni avanzate di End Point Protection. Queste soluzioni sono in grado di rilevare potenziali malware ancora sconosciuti in base al comportamento dell'eseguibile sul sistema operativo nel quale venga eseguito il file. Ad esempio, varianti di Cryptolocker utilizzano sistemi di memory overflow che possono essere facilmente riconosciute da sistemi avanzati di End Point Protection. |
| - Implementare sistemi avanzati di Behaviour Analysis per capire quando, come e dove un'infezione di Cryptolocker si sta attivando in rete. |
Ricordiamo inoltre che per i sistemi WINDOWS XP non c'è alcun modo per riuscire a decriptare i file danneggiati in quanto il supporto da parte di Microsoft è stato interrotto l' 8 Aprile 2014!
Sistemi Gestionali
Tutte le news