Come difendersi dai Cryptolocker virus

Da più di un anno circolano diverse varianti di alcuni virus denominati cryptolocker.

Questo tipo di infezione, solitamente veicolata attraverso mail camuffate da messaggi da parte dei corrieri per mancate consegne, mancato pagamento di bollette con valori esorbitanti, che fanno leva sullo spavento di chi legge il messaggio e clicka sul link presente nella mail per capire il perchè di un addebito così elevato. una volta raggiunta la pagina malevola vengono eseguiti una serie di script che caricano dei file sul nostro computer e li eseguono. l’altra opzione di veicolazione è un allegato con doppia estensione e icona solitamente di un file pdf. l’esecuzione del file avvia immediatamente l’infezione.

 

cryptolocker_enel

 

truffa-telecom

 

 

virus cryptolocker sda corriere-2

I file colpiti sono tutti quelli con le seguenti estensioni:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

i file vengono criptati attraverso una chiave pubblica univoca con protocollo RSA, ci viene intimato di pagare un riscatto per avere la chiave di decodifica.

In qualsiasi caso pagare non è mai la scelta migliore, in primo luogo perchè si finanzia un’attività illecita, inoltre non è possibile essere sicuri del fatto che una volta eseguito il pagamento ci venga davvero fornita la chiave di decodifica.

La soluzione è quella di affidarsi a dei backup periodici che dovremmo avere sempre la cura di effettuare sui dati più importanti, con cadenza quantomeno settimanale. E’ possibile sfruttare le shadow copy di Windows nel caso le avessimo abilitate per recuperare i file una volta eliminata l’infezione.

Inoltre è possibile sfruttare delle policy di Windows per prevenire l’esecuzione di software malevolo dalle cartelle che solitamente vengono utilizzate. non è una garanzia al 100% ma potrebbe salvarvi nella maggior parte dei casi.

da esegui avviamo gpedit.msc

sotto Local Security Policy – Computer Configuration apriamo Windows Settings – Security Settings – Software Restriction Policies

A questo punto creiamo unanuova regola mettendo le path più comuni utilizzate da questo tipo di infezioni e scegliamo come security level : Disallowed.

una tabella riepilogativa:

 

Path Security Level Descrizione
%AppData%\*.exe Disallowed Previene che il Cryptolocker venga eseguito dalla cartella AppData*
%AppData%\*\*.exe Disallowed Previene che i payload del Cryptolocker vengano eseguiti dalle sottocartelle di  AppData
%UserProfile%\Local Settings\Temp\Rar*\*.exe Disallowed Previene che i file WinRAR scompattati da un allegato email vengano eseguiti.
%UserProfile%\Local Settings\Temp\7z*\*.exe Disallowed Previene che i file 7zip scompattati da un allegato email vengano eseguiti.
%UserProfile%\Local Settings\Temp\wz*\*.exe Disallowed Previene che i file Winzip scompattati da un allegato email vengano eseguiti.
%UserProfile%\Local Settings\Temp\*.zip\*.exe Disallowed Previene che i file file archivio scompattati da un allegato email vengano eseguiti.

Ovviamente bloccherà anche tutti quei software che lavorano su cartelle temporanee che abbiamo bloccato, è possibile una volta trovato il software che non è in grado di avviarsi creare nella stessa posizione una regola specifica consentendo a quell’eseguibile l’esecuzione.

Rispondi