Protezione Cryptlocker
L’unica vera Protezione Cryptlocker ? Il backup !
(ovvero uno script schedulato di backup per la protezione da cryptolocker….)
Da 2 settimane, con progressione sempre piu’ marcata, vedo arrivare
infezioni di cryptolocker (lo stesso che era successo sui pc di alcuni nostri clienti tempo fa)
Purtroppo non c’e’ modo di prevenire cryptolocker : gli antivirus adibiti alla protezione,
anche i piu’ intelligenti, spesso non lo rilevano, possiamo solo avere dei buoni backup da cui recuperare dati.
8 giorni fa in una fabbrica mio cliente (200 stazioni, di cui meta’ con dati da recuperare)
3 giorni fa in una fabbrica mio cliente (4 pc infetti in 4 minuti di orologio)
Ieri in un’altra fabbrica (10 pc infetti) e cosi’ via….
Arriva una mail (es. dell’ENEL, o di SDA, ma puo’ essere qualsiasi cosa realistica)
con un link da cliccare, che porta dentro al vostro pc un’infezione di virus cryptolocker che cripta i vostri file.
Il risultato e’ che dovete formattare il pc, e se va sul server, si mangia tutti i vostri dati
in brevissimo tempo. Gli antivirus sono praticamente tutti inutili, nessuna protezione da cryptolocker.
Solitamente CryptoLocker si nasconde sotto allegati email provenienti da falsi mittenti/aziende noti per il loro nome/marchio
che invitano l’utente ad aprire l’allegato del messaggio di posta, come un documento PDF.
MA l’allegato non è un PDF, nonostante abbia anche l’icona del PDF, se si osserva bene l’estensione del file
essa sarà di tipo NomeDocumento.pdf.exe dove è “.exe” il vero formato dell’allegato… o talvolta “.scr”, uno screensaver.
Si tratta di un file eseguibile che una volta aperto darà inizio all’infezione.
Purtroppo Windows di default nasconde le estensioni dei file !! conviene sempre lasciarle attive !!
Dopo averlo eseguito andrà ad aggiungersi all’avvio automatico del sistema, si connetterà
a un server internet per scaricare la chiave di crittografia, scansionerà le unità locali
e di rete sul computer al fine di individuare i file dell’utente
(documenti, foto, video) per poi crittografarli rendendoli inaccessibili e chiedendo il riscatto alla vittima
per poter sbloccare nuovamente i file. Nessuno a quanto pare anche pagando ha ottenuto indietro i suoi dati…
L’unica protezione crytplocker e’ di non cliccare senza attenzione :
quando andate nella posta sopra al link con il mouse, noterete in basso a sinistra
che scrive il riferimento al link. Dovete leggerlo, prima di cliccare, e domandarvi
se vi manda su un sito con nome sensato.
Attenzione che talvolta mettono link a siti con nomi quasi sensati….
Visto quanto successo, sto riattivando i backup e ricontrollando tutto quanto
dai vari clienti , in modo che qualsiasi cosa succeda ci sia almeno una copia recente dei documenti.
Non esiste oggi nessun vera protezione cryptolocker, possiamo solo basarci su backup da cui recuperare dati
Stiamo scrivendo una serie di script che dovrebbero permettere di collegare in modo automatizzato
dischi esterni (di rete o usb) solo per il tempo necessario al backup, per poi scollegarli a fine backup.
Questo un primo esempio:
https://www.eulogika.net/script-backup-robocopy/
Presto ne forniremo di nuovi e piu’ evoluti.
In questo modo se gli utenti mettono i loro dati importanti in cartelle specifiche
(es. c:\documenti, caselle di posta in posizioni conosciute, etc.) il sistema
dovrebbe garantire un minimo di disaster recovery.
Alla fine, impostero’ il salvataggio dati completo dei computer dei clienti una volta alla settimana,
non meno, in modo da avere il tempo di recuperare dati, e non rischiare che anche i file
copiati siano infetti a loro volta.