Pubblicità

Trucchi e Consigli

Come sconfiggere Cryptolocker, il virus che sequestra i tuoi documenti

Come sconfiggere Cryptolocker, il virus che sequestra i tuoi documenti
Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • Aggiornato:

Cryptolocker è uno dei virus più pericolosi degli ultimi anni. Quando infetta il tuo PC, sequestra i documenti in esso contenuti e ti chiede un riscatto.

Cryptolocker è un virus sequestratore che infetta Windows XP, Vista, 7 e 8. Si presenta come un allegato ZIP o PDF, ma può anche essere trasmesso da remoto se un PC è stato precedentemente infettato da un Trojan di tipo “botnet”, che lascia la porta aperta per il controllo remoto e le infezioni esterne.

Cryptolocker sequestra i documenti con una chiave segreta

Cryptolocker viene installato nella cartella dei programmi e inizia a cifrare i documenti contenuti nel tuo PC (Office e Open Office, file PDF e foto), facendoli diventare inaccessibili. I file vengono crittografati con una chiave conosciuta solo dai creatori di Cryptolocker, cosa che ne impedisce il recupero.

I file infettati da Cryptolocker diventano illeggibili a causa della crittografia

Allo stesso tempo, CryptoLocker lancia una minaccia: se il proprietario non paga una certa somma di denaro entro tre o quattro giorni, la chiave segreta verrà eliminata per sempre e i file non potranno essere recuperati. È come rinchiudere qualcuno in una cella indistruttibile e buttare via la chiave.

I file possono essere recuperati solo pagando

Se il povero utente decide di pagare la somma richiesta, che può raggiungere i trecento dollari, Cryptolocker decodifica i file, ma non sempre obbedisce. Il pagamento può essere effettuato tramite MoneyPak, Ukash e Bitcoin, una moneta virtuale le cui operazioni non sono sottoposte a controlli.

I metodi di pagamento accettati da Cryptolocker rendono difficile l’identificazione degli autori

Qualsiasi tentativo di pagamento errato riduce il tempo a disposizione per salvare i file. Per “aiutare” gli interessati, gli autori hanno messo a loro disposizione un indirizzo di “supporto tecnico”, situato in fondo allo schermo. Questo indirizzo web contiene la versione dello strumento di decodificazione.

La pagina di “supporto” di Cryptolocker

Il sistema messo a punto dai criminali è perfetto: se l’utente non paga, i file non possono essere recuperati. La codifica utilizzata è troppo forte e anche un sofisticato attacco crittografico impiegherebbe troppo tempo per decifrare i file. Quindi, se l’utente non ha un backup dei documenti, dovrà pagare i malfattori.

Cosa fare in caso di infezione da Cryptolocker

Se vedi comparire la schermata di Cryptolocker, scollega il dispositivo dalla rete per impedire al virus di cifrare più file e di comunicare con i criminali. Bloccare il collegamento internet evita che i file in Dropbox o Google Drive vengano sovrascritti con le copie infette.

Un modo veloce per disabilitare la connessione è andare al pannello di rete e disattivare i dispositivi

Ora devi chiederti che cosa vuoi fare: pagare il riscatto o rimuovere il virus e tentare il recupero dei file? Se opti per il pagamento, sarai nelle mani dei criminali e il recupero dei file non è garantito. Sebbene ci siano molti rapporti che testimoniano che la decodifica avviene entro poche ore dal pagamento, altri dicono che il processo di recupero è pieno di bug. Io ti consiglio di non pagare.

Lo strumento di decodifica di Cryptolocker funziona solo se hai pagato il riscatto

Qualunque sia la tua scelta, la cosa migliore è ottenere un elenco dei file infetti. Per fare ciò, puoi eseguire ListCrilock, uno strumento che crea un file TXT con tutti i documenti criptati dal virus. Puoi anche usare CryptoLocker Scan Tool, un programma che cerca i file infettati dal virus e che ti dice se hanno bisogno di essere recuperati.

CryptoFinder cerca i file infetti e ti dice se puoi recuperarli o no

Se vuoi provarci manualmente, devi aprire il Registro di sistema (Start> Esegui > Regedit) e andare fino alla chiave HKEY_CURRENT_USER\Software. Lì troverai una cartella con un numero e una sottocartella che contiene i nomi dei file: è quella di Cryptolocker. Probabilmente, alcuni di questi documenti non sono ancora stati cifrati e quindi potranno essere recuperati. Per tutti gli altri, puoi solo cercare la copia di backup.

Come rimuovere Cryptolocker dal tuo PC

Rimuovere Cryptolocker è abbastanza semplice, in parte perché gli autori del virus contano sul fatto che la vittima sia così terrorizzata da non voler eliminare l’unico modo per recuperare i file. Per fortuna, ci sono diversi modi per recuperare i tuoi documenti, ma devi prima rimuovere il virus dal sistema.

Nel mio caso, per eliminare Cryptolocker ho usato Norton Power Eraser, un potente anti-trojan che Symantec distribuisce gratuitamente sulla sua pagina. Ho copiato NPE sul computer tramite una memoria esterna, l’ho avviato e, al termine della scansione, ho confermato la cancellazione degli elementi sospetti.

Ho riavviato il sistema e Cryptolocker era scomparso (era rimasto solo lo sfondo della schermata del virus, che di per sé è completamente innocua e può essere modificata senza problemi).

Altri strumenti che funzionano sono Malwarebytes, RogueKiller e ComboFix. Gli antivirus tradizionali hanno difficoltà a individuare Cryptolocker, soprattutto per la velocità con cui vengono pubblicate le nuove varianti, ma si stanno aggiornando.

Come recuperare di file infettati da Cryptolocker

Cryptolocker attacca solo i file presenti sul PC e sulle unità di rete. Non colpisce i documenti salvati nelle unità non connesse o nei server che si trovano su internet. Non infetta nemmeno i file compressi. Il suo obiettivo sono i documenti contenuti nei PC aziendali.

Estensioni colpite da Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Dopo aver ripulito il PC, dovrai ricorrere a uno dei “segreti” più interessanti di Windows: le copie shadow. Si tratta delle versioni precedenti che Windows memorizza ogni volta che un file viene modificato. Per accedere a questa funzione fai click con il tasto tasto destro su un file e apri le proprietà.

Nella scheda Versioni precedenti vedrai le diverse copie che Windows ha memorizzato. Seleziona la versione più recente, precedente all’infezione, e fai click per ripristinarla. Puoi anche accedere a tutte le copie shadow presenti sul disco rigido attraverso lo strumento gratuito ShadowExplorer.

Shadow Explorer è molto facile da usare. Basta scegliere l’unità , la data delle copie, situata nel menù a discesa accanto alle unità, e navigare attraverso le cartelle e i file disponibili. Le copie vengono estratte con un click destro sul file e poi su “Esporta”.

Un’altra opzione per recuperare i documenti è quella di usare un backup precedente che avevi memorizzato su un disco rigido esterno, un server remoto o un DVD. I file archiviati su Dropbox, SkyDrive o Drive sono dei buoni candidati per il ripristino.

Quando recuperi una copia da Dropbox o Google Drive, assicurati che non sia una di quelle infettate dal virus. Entrambe le applicazioni hanno una cronologia delle versioni per ogni documento. Quella di Drive, per esempio, la puoi trovare su File > Consulta cronologia delle revisioni. Da lì puoi recuperare il file desiderato.

Come prevenire gli attacchi di Cryptolocker

Gli autori di Cryptolocker hanno progettato il virus secondo due principi: tutti apriamo gli allegati e nessuno ha delle copie di backup recenti dei propri documenti.

Per prevenire dei possibili attacchi, è necessario rinforzare la tua politica di sicurezza. Innanzitutto, diffida delle email sospette. Se non stai aspettando quel messaggio, non aprire gli allegati in esso contenuti. Lo stesso vale per le webmail: se non hai chiesto nulla, non fare click. Questa è la regola d’oro per evitare le infezioni opportunistiche, il principale mezzo di diffusione dei virus.

Un virus rilevato da Gmail, che ne impedisce il download (immagine di​ AskDaveTaylor)

Potresti anche usare CryptoPrevent, uno strumento che disabilita le autorizzazioni che il virus sfrutta per installarsi. Lo strumento modifica le politiche di sicurezza di Windows per impedire che un programma possa essere eseguito dalla cartella Dati Applicazioni (AppData).

Quando esegui CryptoPrevent, seleziona la prima, la seconda e la quarta casella affinché i programmi già esistenti possano continuare a funzionare. Il pulsante “Undo” ti permette di annullare l’operazione, utile se devi aggiungere un nuovo programma e questa patch ti crea più disagi che sicurezza.

Infine, se non lo hai già fatto, crea il tuo piano di backup. Secondo i dati della società BackBlaze, oltre il 30% degli utenti lavora senza delle copie di backup dei loro documenti di lavoro, mentre solo il 10 % fa delle copie giornaliere. È necessario configurare un sistema di backup, almeno per i tuoi documenti più importanti.

Le copie Shadow di Windows si attivano dal menù Proprietà del sistema, a cui è possibile accedere facendo click destro sull’icona Risorse del computer, o dal Pannello di controllo, nella sezione Sistema. Per abilitare le copie shadow, vai nella sezione Protezione del sistema e definisci la quantità di spazio da destinare a queste.

Cryptolocker è più pericoloso del virus della Polizia

Ricordiamo tutti il terribile virus della polizia, che ha seminato il panico in milioni di case e uffici. Il virus visualizzava un messaggio che sembrava essere stato redatto dalla polizia ed esortava le vittime a pagare una multa a cambio di non essere perseguiti per crimini orribili. Tuttavia questo malware non toccava i file.

Cryptolocker è più dannoso. Si è stimato che alla fine del 2013 aveva già infettato un quarto di milione di PC. Dal momento che le transazioni con i Bitcoin possono essere analizzate, gli esperti hanno scoperto che i criminali informatici stanno guadagnando decine di milioni di dollari grazie a questo virus.

Il modo in cui Cryptolocker infetta i PC è molto comune e, se prendi le precauzioni spiegate in questo articolo, potrai respingere un suo attacco. Inoltre, devi tenere sempre a mente che le copie di backup sono uno strumento prezioso perché possono salvarti dalle grinfie di criminali che mirano ai tuoi dati per estorcerti del denaro.

Sei mai stato infettato da Cryptolocker?

Potrebbe interessarti…

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Linee guida editoriali