Il tuo sistema è stato infettato dal CryptoWall? Se così fosse utilizza il PC il meno possibile e contattaci con la massima tempestività. Ti forniremo la nostra esperienza e il supporto per valutare la fattibilità delle operazioni di recupero dati (senza ovviamente dover pagare alcun riscatto).
Panoramica su cos’è e come funziona CryptoWall
Nel variegato panorama dei virus informatici stanno sempre più consolidando la propria preminenza quelli appartenenti alla tipologia ransomware, ovvero quegli specifici malware in grado di applicare una specifica limitazione al sistema operativo eliminabile previo adeguato riscatto.
L’avvento della digitalizzazione, soprattutto del settore economico, ha contribuito innegabilmente all’incremento di questo fenomeno se è vero che, secondo quanto riportato dal recente rapporto sulla sicurezza esposto nel Verizon Data Breach Investigation Report, quasi la metà percentuale dell’intera totalità degli attacchi informatici assume questa specifica forma.
È evidente quindi che si tratti ormai di una realtà di cui è opportuno conoscere quanto più possibile, per evitare che possa mettere sotto scacco i propri sistemi informatici, causando danni a lungo termine e una considerevole perdita non solo dal punto di vista della sicurezza, ma soprattutto economica.
Cos’è CryptoWall
CryptoWall è essenzialmente un virus crittografico, appartenente alla tipologia già espressa di virus informatici ransomware, studiato e appositamente progettato dai medesimi fondatori già noti nel settore per aver creato realtà simili come CryptoLocker o CTB Locker.
Non appena il virus ha la possibilità di compromettere l’integrità del sistemo operativo ospitante, immediatamente il codice realizzativo attiva la sua peculiare funzionalità mediante cui riesce a crittografare i file presenti nel PC esigendo un riscatto affinché possa avvenire la successiva decrittazione.
Si tratta come si può ben capire di un crimine vero e proprio eseguito estorcendo denaro e, contrariamente a quanto si possa pensare, la percentuale di persone coinvolte disposte a pagare è in continua ascesa con un giro di affari annuale che il governo degli Stati Uniti ha quantificato intorno al miliardo di dollari.
La richiesta del riscatto e soprattutto del pagamento vengono generalmente avanzati mediante il circuito anonimo TOR con obbligo d’uso dei Bitcoin, il tutto con l’obiettivo di preservare l’identità dei criminali informatici.
Un fattore di basilare importanza è quello che riveste l’update del virus stesso. Nonostante sia una realtà informatica che ha cominciato a palesarsi indicativamente intorno al 2014, tuttora risulta perfettamente operativo e pienamente diffuso, a tal punto che i suoi creatori hanno rilasciato recentemente la quarta generazione del software.
Come avviene in genere l’infezione
Il processo di replicazione del virus avviene in termini di tempo rapidissimi, ma ciò che stupisce è la grande adattabilità e flessibilità mostrate nelle fasi iniziali dove può nascondersi in differenti applicativi.
La metodologia certamente più utilizzata e più redditizia è quella della classica mail di pishing mediante cui all’utente verrà richiesto di cliccare su uno specifico link da cui automaticamente avverrà il download del malware. Si è stimato come circa il 70% delle infezioni sfrutta proprio questo modo.
Frequente anche l’utilizzo di Exploit Kit, ovvero di quegli script automatiche che sfruttano la vulnerabilità del sistema ospitante aggirando le sue difese e installando applicazioni nocive di terze parti, con lo scopo di perpetrare la truffa ed estendere la replicazione.
ADS e pubblicità ingannevoli presenti durante la normale navigazione dal proprio browser rappresentano le minacce più infide, dato che è sufficiente un click per avviare il download del virus.
Infine, sebbene abbastanza raro come metodo, anche le connessioni remote in essere con il desktop possono rappresentare una fonte di contagio sfruttabile anche da altri virus ransomware.
Una volta scaricato sul PC, il codice si presenta come un file eseguibile che viene avviato e in tal modo ha la capacità di disabilitare tutti i servizi di sicurezza di Windows, e generare nuovi processi iniettati con codice nocivo.
L’aspetto fondamentale da ricordare è che riesce a insinuarsi nel vitale registro di sistema per cui un riavvio risulterà praticamente inutile alla sua eliminazione, nel frattempo il virus completerà la sua opera crittografando tutti i file raggiungibili.
Le conseguenze dell’infezione
L’effetto più immediato riscontrabile è quello dell’irraggiungibilità dei propri file personali, nonché di non poter gestire in alcun modo l’avanzamento dell’infezione o d’intervenire nel suo arresto.
In breve tempo tutti i dati personali risulteranno crittografati, indipendentemente dal loro formato o dalla loro destinazione, e l’unico modo, apparentemente, di poter risolvere la problematica è quella di fornire ai criminali l’importo richiesto, importo che settimanalmente raddoppia nel caso non venga estinto il pagamento.
È opportuno considerare come il codice del virus sia progettato appositamente per non limitare le proprie funzioni alle cartelle locali, ma di estendersi, se possibile, anche a server e agli eventuali file presenti nella rete Lan comune.
La quarta generazione del virus, infine, ha aggiunto una funzionalità di considerevole impatto: i nomi di ogni singolo file vengono automaticamente sostituiti con delle stringhe pseudocasuali che rendono impossibile anche solo l’individuazione dei file più importanti e/o utilizzati.
Infettati da CryptoWall? Cosa fare
Il consiglio principale è naturalmente quello di evitare del tutto di effettuare un pagamento che non darà alcuna certezza che la chiave di decrittazione verrà effettivamente fornita.
Affidarsi alle funzioni di un antivirus, periodicamente aggiornato, potrebbe addirittura non essere sufficiente, quindi in aggiunta è consigliato l’utilizzo di specifici software destinati appositamente all’individuazione ed eliminazione dei malware.
Un’ottima soluzione è anche quella che consente di utilizzare un punto di ripristino anteriore, se presente, così da riportare il sistema operativo agli istanti prima dell’attacco.
Si può avviare il sistema operativo in modalità provvisoria con rete in modo da poter intervenire con maggiore efficacia sul registro di sistema.
Infine, limitare al minimo i privilegi dell’amministratore di sistema può ridurre di molto la portata dei danni arrecati da questa tipologia di virus, accorgimento che sarebbe bene abbinare anche a un sempre utile backup.
Laddove invece ci si rivolga a una clientela specificatamente aziendale, è ovvio come oltre a quanto già esposto si rende necessario il supplemento di ulteriori rimedi.
Uno scudo protettivo che manifesta appieno le proprie capacità in ambito aziendale è quello di applicare delle ragionevoli restrizioni volte a limitare le vulnerabilità non ancora risolte.
La rete aziendale deve necessariamente ospitare solo quei dispositivi che vengono sottoposti a periodici aggiornamenti o controlli. Mai si dovrà consentire che un dispositivo di terze parti possa interfacciarsi con la rete comune, basta un singolo sistema difettato per replicare indefinitamente l’infezione con risultati catastrofici dal punto di vista economico.
Infine, ogni realtà aziendale dovrebbe imprescindibilmente far fronte all’importanza che riveste e munirsi di specifici strumenti atti a individuare e bloccare sul nascere ogni tentativo di minaccia informatica o intrusione esterna. Prodotti come antivirus endpoint o sistemi di tracciamento avanzati dovrebbero rappresentare i capisaldi su cui fondare l’intera sicurezza informatica.
Il recupero dei dati
Se hai bisogno di recuperare i dati, come già accennato, astieniti dall’utilizzo del device e contattaci tempestivamente. A Recovery File seguiamo la politica del “no data no cost”. Se non riusciamo a recuperare alcun file, non ti sarà addebitata alcuna spesa.
