Oggetto: Avviso di sicurezza – virus informatico
Come sempre le esigenze dei clienti sono al primo posto per il personale di WinDSL, a tal proposito abbiamo deciso di diffondere questo comunicato. Il nostro intento è esclusivamente quello di informare il pubblico di un potenziale pericolo per i dati aziendali.
Di cosa si tratta
Nell'ultimo periodo sono apparsi in rete diversi virus molto pericolosi che minacciano l'integrità dei dati archiviati su computer client e server aziendali.
CryptoLocker è un cavallo di troia comparso nel tardo 2013, consiste nel criptare i dati della vittima e richiedere un pagamento per la decrittazione.
Cryptowall e Cryptodefense sono varianti di questi virus scoperti nel giugno 2014.
TorrentLocker è una nuova variante scoperta nell’agosto del 2014, di questa specifica versione esiste anche un’ulteriore evoluzione che ha trovato terreno fertile negli enti pubblici nella seconda metà di ottobre di quest’anno.
Come si evince da questa evoluzione, si tratta di un virus particolarmente mutevole, questa sua caratteristica lo rende estremamente pericoloso e difficile da individuare da parte dei sistemi di protezione quali sono i normali antivirus.
Come si propaga
Il funzionamento di questi virus è molto semplice, arriva attraverso la posta elettronica, sotto forma di email apparentemente innocue, con allegati che, ad un occhio poco esperto, possono sembrare leciti.
Occorre porre la massima attenzione a qualunque allegato poiché la mail infetta può arrivare da qualunque mittente e con qualunque oggetto. È possibile anche che il file infetto non sia dentro al file .zip, ma sia il file stesso, esempio: ordine852.zip.exe
Come agisce
Una volta aperto il file infetto, il virus si installa sul client, e in modalità completamente silenziosa comincia criptate tutti i dati che trova. I files interessati sono i documenti di office, PDF, files di Autocad e altro ancora, non fa alcuna distinzione il fatto che i dati siano locali sulla macchina o su una condivisione di rete.
Lo scopo del virus è unicamente quello di criptare i dati dell’utente, quindi non si avrà alcuna percezione della sua presenza fino a quando non si cercherà di aprire un file criptato. A quel punto verrà visualizzata una “richiesta di riscatto”.
Il messaggio può cambiare a seconda della variante del virus.
Ciò che non cambia è il fatto che i files risulteranno illeggibili.
La rimozione del virus servirà soltanto ad evitare che possa criptare altri documenti, i dati già criptati rimarranno tali e quindi inutilizzabili.
Non vi è alcuna garanzia inoltre che pagando l’Hacker sia possibile recuperare i dati criptati.
Prevenzione
Ecco alcuni consigli per prevenire l’infezione:
- Avere un software antivirus aggiornato e funzionante è molto importante, i sistemi di protezione moderni sono in grado di bloccare molte varianti di questi malware, è possibile tuttavia che una nuova variante, non ancora scoperta passi il controllo dell’antivirus.
- Nel caso in cui l’antivirus non rilevi la minaccia, solo la massima attenzione da parte dell’utente può prevenire l’infezione, come detto precedentemente occorre essere particolarmente accorti nell’aprire allegati di posta di cui non si è certi del contenuto.
- Inviare la mail ad un collega per chiedere aiuto non fa che aumentare il rischio di infezione.
- Tenere presente che raramente aziende come quella nell’esempio inviano documenti in allegato, spesso hanno un portale per lo scarico dei documenti di vostra pertinenza, inoltre non vi è alcuna ragione per comprimere in un file .zip un unico documento PDF.
- Verificare in modo puntuale e accurato la corretta esecuzione dei backup.
In caso di infezione
Nella malaugurata ipotesi in cui il computer sia stato infettato, la prima cosa da fare è isolarlo dalla rete scollegando fisicamente il cavo o spegnendo la rete WiFi del notebook, in modo da ridurre al massimo la possibilità che altri file vengano criptati.
Eseguire una scansione completa con un antivirus aggiornato.
Consultare un tecnico specializzato.
Conclusione
Alla luce di quanto esposto risulta evidente l’importanza dei backup, è quest’ultimo infatti l’unico sistema che dia una garanzia di recupero dei dati compromessi.
È altrettanto evidente quindi che la procedura di backup deve essere monitorata e sicura, e che il repository delle copie deve essere mantenuta in sicurezza e isolata da possibili attacchi del virus.
WinDSL, con la sua lunga esperienza nel campo, offre a tutti i suoi clienti una consulenza adeguata per scongiurare tali evenienze, e, nel caso di infezione, per il recupero delle attività aziendali nel minor tempo possibile.
L’amministratore
Gabriele Innocenti