Cryptovirus

Discutiamo in questo post di uno dei virus informatici più insidiosi e nel contempo dannoso: il cryptovirus o cryptolocker.  Sono parte della cosiddetta famiglia dei ransomware (riscatto) perchè sui sistemi colpiti da questo tipo di virus viene rilasciato un file di testo che spiega dettagliatamente come pagare il riscatto per rimuovere i danni messi in atto dal virus stesso. Il virus a volte cambia lo sfondo dello schermo con una immagine che notifica l’avvenuta infezione. Ecco un esempio

Già, i danni. Cosa compie il cryptovirus di così dannoso? Il nome stesso lo rivela: una volta attivato passa in rassegna tutti i files presenti sulle unità di memorizzazione del sistema colpito (dischi rigidi, chiavette usb, dischi esterni, etc) e, fatto ancor più grave, tutte le unità di rete mappate. Una unità di rete mappata è, in breve, una risorsa di rete (ad es. una cartella di un pc di un nostro collega di ufficio) che raggiungiamo dal nostro pc infettato e alla quale è stata assegnata una lettera di unità come se fosse un disco locale del nostro pc colpito. Infatti tale risorsa la vediamo, ad esempio, tra le risorse del computer di un sistema con a bordo Windows. Ogni file di tipo documento (in pratica PDF, WORD, EXCEL, le immagini, etc) è passato al vaglio dal virus, viene criptato e reso praticamente illeggibile e di fatto inutilizzabile. La chiave utilizzata per crittografare i files, è  nota solo all’autore del virus e ciò rende  quest’ultimo l’unico in grado di de-crittografare i files. Di qui il riscatto: l’autore chiederà, mediante un file di testo come accennato prima, un riscatto per il rilascio della chiave (in pratica un piccolo programmino) per decrittare tutti i files. La richiesta di pagamento viene concordata via email e comunque viene tutto dettagliatamente spiegato nel file di testo delle istruzioni di rimozione del virus prodotto dall’autore dello stesso. Il pagamento verrebbe effettuato in bitcoin (https://it.wikipedia.org/wiki/Bitcoin),  la moneta elettronica che garantisce l’intracciabilità.

Come si diffondono i cryptovirus
Ad oggi il mezzo di diffusione maggiore è la email. Il malcapitato riceve una email da un mittente a lui noto (probabilmente lui stesso colpito da virus) contente un allegato. Tale allegato, se aperto, attiva il virus che inizia il danno. Ciò ci porta a comprendere che è di fondamentale importanza verificare qualsiasi email prima di aprire l’allegato.

Come difendersi
Per come sono concepiti questi virus, l’unica reale difesa è un’attenta politica di backup dei dati (backup policy). L’elevatissimo numero di varianti del virus di fatto rende inefficaci i sistemi antivirus che soltanto in rari casi riescono ad intercettare il ransomware. Una buona politica di backup prevede un backup quotidiano dei dati su più supporti utilizzati in alternanza. Esistono alcuni software che permettono di programmare il backup in modo che venga eseguito automaticamente con l’invio dell’esito del backup via email. Questo argomento verrà approfondito in un successivo post. Esistono altre tecniche più sofisticate basate sul concetto di auditing (controllo) di files “sentinella” memorizzati sull’unità da proteggere. Il principio è il seguente: sulle unità disco che si vogliono proteggere, si memorizzano alcuni files detti appunto “sentinella” nel senso che non appena vengono modificati dal virus, allora il sistema di auditing disattiva all’istante la risorsa dalla rete. L’auditing però è una funzione presente solo su alcuni sistemi: ad esempio i sistemi Windows Server configurati come controllori di dominio (Domain Controller). Su questi sistemi è possibile attivare delle regole di controllo che provvedono ad eseguire determinate azioni al verificarsi di determinati eventi. In questo caso, come detto, appena il virus modifica uno dei files sentinella, provvede a disattivare la condivisione di rete in modo che il virus non riesce ad accedere ai restanti files. E’ importante, per l’efficacia di questa tecnica, che ci sia un file sentinella in ogni cartella di primo livello e che il nome del file sentinella sia alfabeticamente il primo.

 

Posted in Senza categoria.

Lascia un commento