Come funziona Cryptolocker

Cryptolocker

Cosa sono e come funzionano i Ransomware

CryptolockerIl Ransomware ormai e’ ovunque. Si sperava che il ransomware di file encryption conosciuto come CryptoLocker fosse stato definitivamente debellato lo scorso anno, ma sia lui che il suo stretto cugino CryptoWall sono tornati più forti che mai.

I Ransomware sono malware che impediscono l’uso dei file sul proprio computer e che cercano di estorcere denaro in cambio della promesso di sbloccarli.

Eccovi alcune informazioni utili sui nuovi tipi di ransomware, su come funzionano, e su quello che, in qualità di azienda o privatamente, si può fare per stare al sicuro.

Come funziona

Un attacco ransomware passa attraverso cinque fasi dal momento che si installa sul computer con la comparsa dell’avvertimento di riscatto sullo schermo. È possibile scaricare la nostra infografica step-by-step per conoscere le fasi di un attacco, e ottenere suggerimenti su come prevenirlo.

Prima Fase - Installazione
Dopo che il computer della vittima è infettato Cryptolocker-Ransomware si installa e imposta delle chiavi nel Windows Registry per attivarsi automaticamente ogni volta che il computer si accende
Seconda Fase - Contatto dell'Headquarter

Prima dell’attacco vero e proprio Cryptolocker-Ransomware contatta il server di origine.

Terza Fase - Chiave di Criptazione

Cryptolocker-Ransomware client e server si identificano tramite un HandShake e il server genera due chiavi di crittografia. Una chiave è gestita dal computer infetto mentre la seconda è costudita nel server di origine.

Quarta Fase - Criptazione
Con la chiave di crittografia scaricata Cryptolocker-Ransomware inizia il vero e proprio attacco criptando tutti i file con le estensioni più comuni, dai file di Office (.doc .xls etc) alle immagini (.jpg .tif .gif) e altri
Quinta fase - Estorsione

Cryptolocker-Ransomware mostra una pagina dove viene dato un tempo limite per pagare prima che la chiave di decrittazione venga distrutta con il risultato di rendere i file permanentemente illeggibili. Il prezzo normalmente si aggira fra i $300 e i $500 e deve essere pagato tramite BITCOIN o altri metodi di pagamento elettronici.

Clicca qui per visualizzare un esempio di una pagina relativa all'estorsione

Come Proteggersi

SophosPer prima cosa attenzione alle mail sospette. Cryptolocker-Ransomare viene veicolato tramite posta elettronica per cui, se non avete l’assoluta certezza della autenticità della mail che avete ricevuto non aprite nessun tipo di allegato.

Aver ricevuto una mail sospetta non significa essere stati infettati Cryptolocker-Ransomare. Potete tranquillamente metterla nel cestino e il virus non avrà nessun effetto sul vostro PC.

Prima che un ransomware possa svolgere il proprio sporco lavoro, deve contattare un server di comando e controllo in tempo reale. I firewall di nuova generazione come la Sophos UTM possono contribuire a bloccarlo. La nostra nuova generazione Enduser Protection offre  la Malicious Traffic Detection (MTD)  che va ovunque voi andiate, rilevando e bloccando il malware quando si connette ai server degli assalitori.

Advanced Threat Protection

Il Sistema Operativo Sophos Firewall offre protezione avanzata contro le minacce per difendere la vostra rete dai sofisticati attacchi del giorno d’oggi.

  • Security Heartbeat connette i vostri endpoint al firewall, aggiungendo al mix i propri dati di intelligence, per consentire l’identificazione e l’isolamento dei sistemi compromessi da minacce avanzate e precedentemente sconosciute.
  • La protezione a livelli multipli contro i call home effettua analisi di vario genere da DNS, IPS, filtri web e filtri del traffico, per identificare e bloccare i tentativi di call home delle botnet e dei server di comando e controllo (C&C).
  • I criteri firewall intelligenti forniscono un resoconto del comportamento degli endpoint, per isolare o limitare automaticamente l’accesso a sistemi infetti che possono essere compromessi da una minaccia avanzata.

Sospetti di essere stato infettato?

Se pensi di essere stato infettato o se hai ricevuto una mail con un allegato sospetto per prima cosa chiamaci allo 057172329 oppure compila il modulo cliccando sul bottone.