Torna a colpire il ransomware che tiene in “ostaggio” i computer!
Ransomware.CryptoLocker è un malware che una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente tutti i dati presenti sul disco rigido, richiedendo poi un pagamento all’utente per ottenere una chiave di decriptazione. Il pagamento del riscatto, però, non garantisce il ritorno alla normalità.

Questo malware si diffonde tramite un allegato di posta elettronica. Il file è visibile come “nomefile.pdf o docx o altro.exe”, sfruttando il fatto che i sistemi Windows non mostrano di default le estensioni dei file e quindi un file così creato verrebbe visualizzato come “nomefile.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo.
Una volta installato, il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica e salva ogni file cifrato in una chiave di registro. A questo punto il software informa l’utente di aver cifrato i file e richiede un pagamento che va dai 200 ai 500 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), oppure 0.5 Bitcoin per decifrare i file. Il pagamento deve essere effettuato entro 72 o 100 ore, altrimenti la chiave privata viene cancellata definitivamente, rendendo impossibile ripristinare i file.
Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata già precaricata.

L’unica soluzione, oltre la prevenzione, è quella di implementare difese adeguate per non far agire il malware.

COSA FARE IN CASO DI INFEZIONE
Se si sospetta un attacco o è ancora al primo stadio, visto che ci vuole un pò di tempo perché sia completata la cifratura, si può rimuovere immediatamente il malware in modo da ridurre la perdita di dati, ma ovviamente in questo modo non si risolve completamente il problema.
Bisogna assolutamente implementate politiche di sicurezza molto restrittive che impediscano che CTB-locker venga eseguito, usando al meglio i prodotti Trend Micro e se possibile, prevedere un adeguamento infrastrutturale che permetta l’implementazione di prodotti di scansione attiva del traffico cone IWSVA e Deep Discovery Inspector.

Ulteriori informazioni sono disponibili all’interno del Blog Trend Micro