Nuovi virus che cifrano/distruggono i dati

Salve a tutti,

vi segnalo con urgenza che in questi ultimi giorni di gennaio è in corso un attacco da parte di un nuovo virus che si diffonde tramite false email riguardanti fatture o ordini, e che una volta installato sul PC provvede a cifrare tutti i documenti del computer, incluse foto, documenti e anche alcuni archivi di gestionali, chiedendo poi un “riscatto” di circa 600 euro o più per sbloccarli.

 

AGGIORNAMENTO: Dopo aver analizzato diversi PC su cui è passata quest’ultima variante di virus, posso confermare che buona parte dei dati è irrimediabilmente danneggiata. Tutti i programmi di recupero dati trovano i riferimenti ai file prima che venissero cifrati, ma anche recuperandoli in questo modo il contenuto non è leggibile. L’unico modo con cui siamo riusciti a recuperare una parte di dati utili, a seconda dei casi dal 5% al 40% circa di ciò che si era perso, è stato usando un tipo di ricerca settore per settore in base alla firma dei file.

 

Non tutti gli antivirus riescono a bloccarlo, per cui l’unico consiglio valido è di effettuare backup con regolarità di tutti i propri dati. Attenzione perché il virus, se trova chiavette USB o dischi esterni collegati al pc infetto, cifra anche tutti i dati presenti sulle unità esterne o le unità di rete a cui è stata assegnata una lettera.

Vi raccomando nuovamente di non aprire mai allegati sospetti dalle email, anche se provenienti da mittenti che si ritengono conosciuti. Consiglio vivamente a tutti di contattare il proprio tecnico di riferimento per predisporre o migliorare le procedure di salvataggio dati. Meglio perdere 10 minuti in più alla settimana che rischiare tutti i propri dati.

 

Ma cosa succede esattamente quando questo virus ci infetta? All’inizio non dà sintomi, ma sotto sotto sta già iniziando a criptare i nostri documenti. Se in questa fase ci accorgiamo di qualcosa e spegniamo subito il pc, potremmo riuscire a salvare quello che non è stato ancora elaborato. Ma se lo si lascia fare, il virus cifrerà tutto e alla fine mostrerà un messaggio che obbliga a pagare una certa somma per riavere i propri dati.

La cifratura è vera, quindi al momento non esiste metodo per riaverli senza rivolgersi ai criminali, e pur facendolo non si avrebbe comunque la garanzia di avere tutto come prima.

 

Allego degli esempi di mail fasulle che arrivano, gentilmente concessimi da Domenico e Andrea:

cbt-mail1 cbt-mail2

 

In parole un po’ più tecniche (e precise): l’email non contiene il programma di cifratura, ma solo un Trojan Downloader, probabilmente in continua mutazione per sfuggire agli antivirus. Una volta aperto, il Downloader mostra veramente a video una fattura, ovviamente non riferita al padrone del pc che, vedendola, la chiude pensando ad un errore. A questo punto il Downloader scarica da una serie di server il vero programma di cifratura, che genera una chiave univoca per il pc e inizia a cifrare i file senza darne notifica all’utente. Solo dopo il completamento della procedura di cifratura di tutte le unità locali, comprese chiavette usb, hard disk esterni, nas e unità di rete (se sono mappati su una lettera), il virus mostra il messaggio chiedendo il riscatto e spiegando le modalità di pagamento.

 

Da parte nostra siamo ovviamente a disposizione per qualsiasi informazione o suggerimento.

Saluti a tutti, e buon lavoro
Raffaele De Falco

 

esempio cbt-locker