News

Attenzione a TeslaCrypt

Avviso di sicurezza – virus informatico

Come sempre le esigenze dei clienti sono al primo posto per il personale di WinDSL, a tal proposito abbiamo deciso di diffondere questo comunicato. Il nostro intento è esclusivamente quello di informare il pubblico di un potenziale pericolo per i dati aziendali.

Negli ultimi giorni riscontriamo numerosi casi di attacchi del nuovo TeslaCrypt, un cavallo di troia comparso nel tardo 2015 e diffuso in Italia nei primi mesi del 2016, si trasmette con email provenienti da mittenti “conosciuti”. 

Come si propaga

Il funzionamento di questi virus è molto semplice, arriva attraverso la posta elettronica, sotto forma di email apparentemente innocue, con allegati che, ad un occhio poco esperto, possono sembrare leciti, eccone un esempio:

Image and video hosting by TinyPic

In questo esempio, nell’allegato .zip è presente un file che si chiama fattura.pdf.exe, un utente poco attento potrebbe pensare che si tratti di un vero documento PDF.

Occorre porre la massima attenzione a qualunque allegato poiché la mail infetta può arrivare da qualunque mittente e con qualunque oggetto. È possibile anche che il file infetto non sia dentro al file .zip, ma sia il file stesso, esempio: ordine852.zip.exe

Nel febbraio del 2016 una nuova variante del virus si propaga attraverso email di questo tipo:

Image and video hosting by TinyPic

In questo esempio, nell’allegato .zip è presente un solo file che se aperto fa partire la procedura di crittografia.

Spesso il mittente è una persona conosciuta, la quale può anche non aver ancora subito l’infezione e non è responsabile in alcun modo dell’invio.

Come si può notare, i destinatari della mail sono molteplici, nel corpo non c’è scritto nulla e l’allegato ha un nome casuale che non identifica in alcun modo lo scopo del messaggio, questo è il classico esempio di email da NON APRIRE assolutamente.

Come agisce

Una volta aperto il file infetto, il virus si installa sul client, e in modalità completamente silenziosa comincia criptate tutti i dati che trova. I files interessati sono i documenti di office, PDF, files di Autocad, e altro ancora, non fa alcuna distinzione il fatto che i dati siano locali sulla macchina o su una condivisione di rete.

Lo scopo del virus è unicamente quello di criptare i dati dell’utente, quindi non si avrà alcuna percezione della sua presenza fino a quando non si cercherà di aprire un file criptato. A quel punto verrà visualizzata una “richiesta di riscatto” di questo tipo:

Image and video hosting by TinyPic

Il messaggio può cambiare a seconda della variante del virus.

Ecco un altro esempio:

Image and video hosting by TinyPic

Ciò che non cambia è il fatto che i files risulteranno illeggibili.

La rimozione del virus servirà soltanto ad evitare che possa criptare altri documenti, i dati già criptati rimarranno tali e quindi inutilizzabili.

Non vi è alcuna garanzia inoltre che pagando l’Hacker sia possibile recuperare i dati criptati.

Prevenzione

Ecco alcuni consigli per prevenire l’infezione:

- Avere un software antivirus aggiornato e funzionante è molto importante, i sistemi di protezione moderni sono in grado di bloccare molte varianti di questi malware, è possibile tuttavia che una nuova variante, non ancora scoperta passi il controllo dell’antivirus.

- Nel caso in cui l’antivirus non rilevi la minaccia, solo la massima attenzione da parte dell’utente può prevenire l’infezione, come detto precedentemente occorre essere particolarmente accorti nell’aprire allegati di posta di cui non si è certi del contenuto.

- Inviare la mail ad un collega per chiedere aiuto non fa che aumentare il rischio di infezione.

- Tenere presente che raramente aziende come quella nell’esempio inviano documenti in allegato, spesso hanno un portale per lo scarico dei documenti di vostra pertinenza, inoltre non vi è alcuna ragione per comprimere in un file .zip un unico documento PDF.

- Verificare in modo puntuale e accurato la corretta esecuzione dei backup.

In caso di infezione

Nella malaugurata ipotesi in cui il computer sia stato infettato, la prima cosa da fare è spegnere il sistema, in modo da ridurre al massimo la possibilità che altri file vengano criptati, in nessun caso la macchina deve essere riaccesa, se non sotto il controllo di un tecnico specializzato.

Conclusione

Alla luce di quanto esposto risulta evidente l’importanza dei backup, è quest’ultimo infatti l’unico sistema che dia una garanzia di recupero dei dati compromessi.

È altrettanto evidente quindi che la procedura di backup deve essere monitorata e sicura, e che il repository delle copie deve essere mantenuta in sicurezza e isolata da possibili attacchi del virus.

WinDSL, con la sua lunga esperienza nel campo, offre a tutti i suoi clienti una consulenza adeguata per scongiurare tali evenienze, e, nel caso di infezione, per il recupero delle attività aziendali nel minor tempo possibile.