Nel momento in cui l'utente dovesse +/- coscentemente cliccare sul link
"
Scarica etichetta di spedizione"
Vengono eseguite una serie di operazioni che scatenano il
CryptoLocker
Come si manifesta CryptoLocker
L'obiettivo della mail è convincere il malcapitato ricevente a cliccare sul falso link, attraverso la seguente comunicazione:
"Il vostro pacchetto con il codice di spedizione 123456789 è arrivato al gg novembre 2016. Corriere non ha espresso un pacco per te. Stampare l'etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto."
Scarica etichetta di spedizione
In caso di cifratura dati, i file che vengono crittografati si presentano con una nuova estensione, che negli utlimi casi rilevati dal CRAM di TG Soft corrisponde a "ENC" (nomefile.xxx.ENC). Da segnalare però la presenza di casi di file crittografati con l'aggiunta di estensione casuale (nomefile.xxx."casuale").
Le altre caratteristiche del CryptoLocker rimangono comunque INALTERATE.
|
Clicca per ingrandire l'immagine |
N.B. Leggendo attentamente la mail , sono evidenti errori grammaticali presenti nel testo, queste inesattezze possono essere un segnale che si è di fronte ad una comunicazione falsa, la fretta e/o la reale attesa di un pacco, possono giocare un brutto scherzo.
Il riscatto richiesto da CryptoLocker
Al termine della cifratura comparirà nello schermo un'immagine con le indicazioni necessarie per recuperare i dati crittografati. Ovviamente questa operazione , oltre ad essere ILLEGALE , NON GARANTISCE il recupero dei dati , quindi è caldamente sconsigliato seguire questa strada.
Nei successivi paragrafi , vengono espletati importanti suggerimenti per proteggersi dal CryptoLocker e/o mitigarne i danni qualora si fosse caduti nella trappola presente nella mail SDA EXPREES.
E' giusto ricordare anche che lo stesso Crypto-Locker , come del resto la quasi totalità dei Crypto-Malware, si presenta anche con mail legate ad altri contesti, ENEL , TIM / TELECOM, DHL i più gettonati nel 2016.
La famiglia/tipologia dei CryptoLocker è stata ampiamente analizzata dal C.R.A.M. di TG Soft con un'analisi tecnica già nel 2013. Per maggiore dettagli vi invitiamo a consultare l'informativa del 06/12/2013 - Brutte notizie con il ritorno del CryptoLocker
|
|
Come proteggersi
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare il crypto malware già nelle fasi iniziale dell'infezione del computer.
Come già segnalato, la tecnologia Anti-CryptoMalware di
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa tipologia di attacco Crypto-Malware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del
99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al
100% grazie a Vir.IT BackUp.
Come comportarsi per mitigare i danni derivanti da CryptoLocker
Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico", NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
- SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di CryptoLocker.
- NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il Crypto-Malware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer Pro quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer Pro ==> Consulta l'informativa
|
Considerazioni finali:
Nel caso si sia scatenata la cifratura vi invitiamo, come sempre, a
mantenere la calma poichè potreste trovarvi in una di queste situazioni:
Hai installato sui tuoi computer
Vir.IT eXplorer PRO
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di decifrare e ripristinare i file cifrati è possibile decifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.
Queste tecnologie vengono di seguito elencate:
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO mediante il Backup on the fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on the Fly permettono il ripristino dei file senza perdere alcuna modifica.
- Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.
|
NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...
Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco CryptoLocker , consigliamo di:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
|
Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft
Torna ad inizio pagina
*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.