ISERNIA. Il programma di posta segnala l’arrivo dell’ennesima e-mail. L’impiegato, nel suo ufficio, è solo e sommerso di lavoro. È già stanco e, distrattamente, clicca sul messaggio appena arrivato.
Questa volta sembra trattarsi di un ordine, anche bello grosso: attrezzature informatiche per un valore di 5/6.000 euro. Stampa immediata e non resta che controllare se nella stampa c’è tutta la mail. Sì, c’è tutta, ma non l’allegato! Parte la solita imprecazione.
Il capoufficio vuole che si stampi tutto e quello stupido allegato è stato zippato apposta proprio per fargli perdere del tempo! Non ha alternative: deve aprirlo e riavviare la stampa. Nuova schermata: “Your personal files are encrypted”.
“Che combina questo catorcio di computer adesso? Doveva solo aprirmi una fattura e stamparmela!”. Decide di stamparlo più tardi. Occorre finire prima il prospetto economico che stava completando. Lo stupido allegato può attendere. Chiude la schermata che gli era apparsa e riapre il file su cui stava lavorando. L’icona è cambiata ma non importa. Ciò che importa è che entro le 13 l’intero prospetto sia finito ed inviato. Ancora la schermata di prima: il file del prospetto non si apre come nessun altro file!
L’ira lascia spazio al panico! È ora di attaccarsi al telefono e chiamare quell’amico che ne capisce di computer.
Il verdetto è terribile: “Hai il computer infetto. Si chiama Cryptolocker. Ti ha crittografato tutti i file. In altre parole hai perso tutto!”.
Il Cryptolocker è un malware di nuova generazione, più precisamente un ‘Trojan/Ransomware’, ossia un programmino malevolo che arriva da internet sotto forma di allegato e la sua e-mail ci invita ad aprirlo per avere ulteriori informazioni.
Non distrugge i file ma li rende ‘semplicemente’ illeggibili applicandovi una cifratura asimmetrica che, oggi, è arrivata a 4.096 bit (per la ‘gioia’ dei crittoanalisti!). Cifrare un’informazione significa renderla fruibile soltanto al possessore di una particolare password o ‘chiave’, generata durante il processo di criptazione. Nel caso del Cryptolocker, questo processo di generazione avviene on-line, utilizzando un server di internet sul quale viene anche salvata (e poi distrutta) la chiave necessaria per decrittare i file che sono stati cifrati.
Successivamente, il virus informa l’utente di aver cifrato i suoi file e ne chiede un riscatto (in inglese ‘ransom’), da pagare entro e non oltre le 72/100 ore. Il pagamento del riscatto permetterà di ottenere l’unica chiavein grado di rimuovere la cifratura recuperando, così, i file. Spesso, però, nonostante il riscatto pagato, alla povera vittima non viene inviata nessuna chiave e i file rimangono definitivamente cifrati e perduti, anche se il virus si rimuove facilmente!
Nelle sue prime versioni, il Ransomware è stato ‘sconfitto’, potendo gli utenti riottenere i loro file ricorrendo o a particolari programmi di recupero o a servizi on-line come ‘decryptcryptolocker.com.
Poi, il Cryptolocker si è evoluto, generando varianti come ‘CryptoWall’ e ‘TeslaCrypt’ e rendendo, questa volta, davvero irrecuperabili i file cifrati!
L’algoritmo ‘RSA’, ossia ciò che è alla base della cifratura eseguita dalle nuove varianti del virus, non ha mostrato particolari debolezze da poter sfruttare, come vulnerabilità, per decifrare i file ‘presi in ostaggio’! L’algoritmo presenta, infatti, un’elevata complessità computazionale, la cui risoluzione richiederebbe molto tempo assieme ad una grande potenza di calcolo.
Cosa fare, dunque? Ancora una volta, la migliore arma contro questa nuova ‘piaga digitale’ è e resta la prevenzione: occorre assolutamente evitare di aprire e-mail e allegati sospetti; eseguire backup periodici dei propri file su supporti diversi (come cd e hard disk esterni) e isolati da ogni tipo di rete (salvaguardandosi, così, da perdite accidentali di dati) e, infine, utilizzare un valido antivirus sempre aggiornato nelle sue definizioni.
Le nuove versioni del Cryptolocker stanno imperversando in rete da diverse settimane, colpendo anche utenti della nostra piccola regione e tante sono le persone che chiedono aiuto al nostro Centro in corso Risorgimento 339 A/B ad Isernia.
Le speranze di liberare i file si sono continuamente ridotte e, in alcuni casi, la stessa rimozione del virus da semplice è diventata così complessa da richiedere diversi giorni e molte ore di lavoro.
I-Forensics Team
