CryptoLocker: come proteggere i dati

CryptoLoker è un virus, per la precisione un Trojan, di tipo ransomware, in grado di infettare i sistemi Microsoft Windows e criptare tutti i dati presenti su questi.
L’obiettivo degli hacker che diffondono questi virus è ottenere il pagamento di un riscatto da parte delle vittime, in cambio della chiave di decrittazione dei dati. Il pagamento deve essere effettuato in Bitcoin, la moneta virtuale, e in molti casi coloro che hanno deciso di pagare non hanno comunque ricevuto la chiave per recuperare i propri dati.

CryptoLocker generalmente si diffonde come un allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime (corrieri, agenzia delle entrate, fornitori di energia), o anche da conoscenti. L’allegato, in formato .ZIP, contiene generalmente un file eseguibile che una volta lanciato infetta il sistema annidandosi nel registro di sistema e nella cartella dell’utente. Successivamente, tenta di connettersi ad un server di comando e controllo online, appositamente predisposto dagli hacker e difficilmente rintracciabile. Una volta connesso, il server genera una chiave di criptazione e la invia al computer infetto. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente. Il processo cifra solo dati con alcune estensioni, tra le quali le estensioni proprietarie di Microsoft Office, Open document PDF, immagini e file di Autocad. Il software, una volta cifrati i dati, informa l’utente e richiede un pagamento in moneta elettronica non tracciabile, come i Bitcoin, per decifrare i file. Viene anche intimato di procedere al versamento in 72 o 100 ore, pena la cancellazione definitiva della chiave di decrittazione. Secondo quanto indicato, pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata. Tuttavia molte vittime sostengono di non aver mai ricevuto tale software anche dopo il pagamento.

Allo stato attuale delle cose, non esiste un modo certo per poter rendere i propri sistemi totalmente immuni da CryptoLocker, e non esiste alcun modo per decifrare i dati criptati (eccetto pagare gli hacker, pratica sconsigliata e comunque non garantita in alcun modo).
Esistono tuttavia diversi metodi e diverse soluzioni che permettono di proteggersi e di ridurre esponenzialmente il rischio di contrarre questo virus.
SAP offre ai propri clienti un insieme completo di soluzioni valide, in grado di prevenire CryptoLocker e mettere al sicuro i dati in caso di infezione:

• Attivare un servizio antispam dedicato sulle caselle di posta: la possibilità che queste email giungano a destinazione si riduce o addirittura azzera (in altri casi possono arrivare contrassegnate come spam). A questo scopo SAP propone Libra ESVA, un sistema che garantisce la massima protezione contro spam, virus, trojans, attacchi phishing e contenuti indesiderati. CryptoLocker, come già spiegato, si diffonde nella quasi totalità dei casi tramite email. Bloccando email indesiderate con Libra ESVA, si evita che gli utenti le ricevano ed erroneamente le aprano, consentendo al virus di diffondersi.
• Utilizzare un antivirus efficace e sempre aggiornato: SAP offre ai clienti un servizio di antivirus gestito chiamato SAP Managed Antivirus, basato sul motore Bitdefender, sempre aggiornato ed efficace contro virus e trojan anche di ultima generazione.
• Attivare un servizio di web filtering tramite la soluzione SAP Remote Management: CryptoLocker, per agire e diffondersi, deve scaricare le firme di criptazione da internet. Un servizio di web filtering blocca l’accesso a questi canali, inibendo di fatto il virus.
• Mantenere il proprio sistema allineato con gli aggiornamenti di sicurezza: questo vale sia per gli aggiornamenti del sistema operativo che del servizio antivirus.
• Adottare soluzioni di copia dei dati in cloud come SAP Managed Backup: salvare copie dei propri dati all’esterno della propria azienda annulla la possibilità che i virus possano intaccarle. I dati aziendali sarebbero quindi sempre al sicuro e a disposizione per essere recuperati.

SAP raccomanda inoltre vivamente di non aprire mai, se non dopo aver fatto le dovute verifiche e contattato il mittente, email contrassegnate come spam.
Purtroppo, lo ribadiamo, non esiste alcun metodo per rendere i sistemi completamente immuni da un utente che apre una mail contrassegnata come SPAM, scarica eventuali allegati e li esegue sul sistema.

Va ricordato infine che PC e server con S.O. Windows XP e Windows Server 2003 sono particolarmente vulnerabili in quanto Microsoft, non supportandoli più, ha cessato la distribuzione degli aggiornamenti di sicurezza. Questi sistemi obsoleti vanno sostituiti o aggiornati al più presto, contattate SAP per pianificare l’aggiornamento dei vostri sistemi.

Vista l’impossibilità di individuare la chiave di decrittazione dei files utilizzata dagli hacker, l’unica possibilità per recuperare i propri dati in caso di contrazione del virus CryptoLocker, è quella di avere un sistema di backup valido e funzionante.
In assenza di questo, i dati saranno da considerarsi definitivamente perduti, dato che è semplicemente impossibile decrittare i file infetti.
SAP offre ai propri clienti due soluzioni di backup dei sistemi valide, in grado di salvaguardare i dati sia in caso di infezione di CryptoLoker, sia nel caso si contraggano altri virus, o nell’eventualità di un malfunzionamento sui sistemi.
Eseguire e verificare periodicamente i backup, avere copie di un’intera settimana, con la possibilità di portare i dispositivi di copia in un altro luogo fisico, è un fattore molto importante. E’ infatti l’unico modo per recuperare i dati in caso di infezione.

QuadricSoftware Alike: Alike è una soluzione, prodotta da QuadricSoftware, veloce, flessibile e conveniente per proteggere i dati aziendali in ambienti virtualizzati con Citrix XenServer. Permette di automatizzare il processo di disaster recovery, riducendo di molto il periodo di down-time in caso di fail dei sistemi. Il recupero dei dati in caso di infezione di CryptoLocker, con Alike, è semplice e veloce.

Riassumendo, pur ricordando che non esiste soluzione per potersi considerare assolutamente immuni da CryptoLocker, l’adozione delle misure di prevenzione sopra riportate (servizio antispam, antivirus aggiornato, web filtering, sistemi aggiornati, backup dei dati in cloud e in locale) permette di avere un’ottima barriera di difesa contro questa minaccia e, nel malaugurato caso di infezione, consente di recuperare in maniera completa i propri dati, senza dover pagare alcun che agli hacker.

Per ogni ulteriore informazione non esitate a contattare SAP all’indirizzo info@sap.it o telefonicamente.