{"id":96,"date":"2017-04-19T23:53:47","date_gmt":"2017-04-19T21:53:47","guid":{"rendered":"http:\/\/www.gianfranco-marchioni.it\/?p=96"},"modified":"2017-04-19T23:53:47","modified_gmt":"2017-04-19T21:53:47","slug":"il-canarino-in-miniera-ovvero-come-salvarsi-da-uninfezione-di-cryptolocker","status":"publish","type":"post","link":"https:\/\/www.gianfranco-marchioni.it\/index.php\/2017\/04\/19\/il-canarino-in-miniera-ovvero-come-salvarsi-da-uninfezione-di-cryptolocker\/","title":{"rendered":"Il canarino in miniera, ovvero come salvarsi da un’infezione di Cryptolocker"},"content":{"rendered":"

Prima di tutto\u00a0spieghiamo cos\u2019\u00e8 Cryptolocker.<\/p>\n

CryptoLocker<\/strong> \u00e8 un trojan comparso nel tardo 2013. Questo virus \u00e8 una forma di Ransomware infettante i sistemi Windows e che consiste nel criptare i dati della vittima, richiedendo un pagamento per la decriptazione. Symantec stima che circa il 3% di chi \u00e8 colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato il riscatto ma di non aver visto i propri file decriptati.<\/p><\/blockquote>\n

Fonte: Wikipedia<\/a><\/p>\n

L\u2019infezione arriva spesso con messaggio di posta elettronica (“fattura”…) e se si apre il messaggio parte l\u2019infezione. Tipicamente cripta tutti i documenti creati con Microsft Office, tutti i documenti in formato\u00a0Open\u00a0Document (creati con Open Office), tutti i pdf (.pdf), e tutte le immagini. Le ultime versioni del virus attaccano anche i file di backup (Veritas, Acronis, Windows).<\/p>\n

Di fatto rende inaccessibili tutti i file infettati attraverso una cifratura\/criptazione con una chiave RSA a 2048 bit. Fatto ci\u00f2 appare un messaggio che vi invita a pagare un riscatto o in bitcoin (moneta di fatto non tracciabile) o euro o dollari. Ovviamente le autorit\u00e0 invitano a non cedere al ricatto, ma non avere pi\u00f9 a disposizione nessun documento mette sicuramente in crisi molte azienda.<\/p>\n

Prima delle ultime versioni di cryptolocker si poteva ripristinare i backup, ma ora, con le ultime versioni di cryptolocker, anche i file di backup in linea diventano inaccessibili.<\/p>\n

Premesso che il mio messaggio riguarda le piccole azienda, (cio\u00e8 le azienda che non hanno un datacenter strutturato, ma un server di condivisione files e alcuni pc collegati in rete),<\/p>\n

cosa fare?<\/em><\/strong><\/p>\n

Ci sono tre tipi di azione da mettere in atto, che io divido in
\nPRIMA
\nDURANTE
\nDOPO<\/p>\n

Prima<\/h2>\n

Fate le copie su dispositivi mobili <\/strong>(tipicamente hard disk esterni, sia usb che di rete) accendendo il dispositivo di copia quando fate le copie e spegnendolo al termine delle copia. Mi spiego meglio: le copie tipicamente vendono fatte di notte, quando gli utenti non lavorano.<\/p>\n

Accendete il dispositivo di copia quando le attivit\u00e0 cessano e spegnetelo alla mattina quando le attivit\u00e0 reiniziano. In questo modo, se durante le normali attivit\u00e0 lavorative i computer sono infettati, poich\u00e9 i dispositivi di copia NON sono in linea, l\u2019infezione NON colpisce le copie.<\/p>\n

Ovviamente la raccomandazione di NON aprire mail da destinatari sconosciuti \u00e8 sempre valida.<\/p>\n

Durante<\/h2>\n

Tenete d\u2019occhio le icone dei file sul vostro desktop, se le vedete cambiare siete sotto infezione. Appena vi accorgete di essere stati infettati, spegnete il computer il pi\u00f9 velocemente possibile staccando brutalmente il cavo di alimentazione<\/strong> (non passate dallo spegnimento software perch\u00e9 potrebbe non funzionare e impiega un sacco di tempo).<\/p>\n

Staccate \u00a0il cavo di rete per evitare la diffusione dell\u2019infezione in rete qualora qualcuno distrattamente riaccendesse il computer.<\/p>\n

Chiamate il vostro tecnico informatico, lasciando il computer spento.<\/strong><\/p>\n

Dopo<\/h2>\n

Cosa far\u00e0 il tecnico informatico?<\/p>\n

Per prima cosa occorre rimuovere l\u2019infezione dal computer e dagli eventuali dischi condivisi. Ci sono vari strumenti quasi sempre efficaci per la rimozione del virus (Sysrescue della Eset, Norton Powere erase della Symantec per citarne qualcuno su cui ho esperienza diretta). Se non funzionano, occorre installare ex novo il sistema operativo riformattando l\u2019hard disk.<\/p>\n

Utilizzando strumenti messi a disposizione da azienda specializzate nel problema (onerosi ma non tanto), provveder\u00e0 a decriptare i vostri file. Si recupera quasi sempre tutto, ma non c\u2019\u00e8 la certezza assoluta.<\/p>\n

Questo \u00e8 quello che dicono le aziende che creano il software per la decriptazione dei vostri files:<\/p>\n

\u00e8 mio dovere, inoltre, metterLa a conoscenza del fatto che sono rari i casi in cui una infezione da ransomware \u00e8 risolvibile: inoltre, analizzando in termini complessivi i risultati emergenti dall’analisi statistica dei casi che ci vengono sottoposti, abbiamo verificato un’altissima incidenza di “ricadute”. In media le persone che assistiamo (sia che il caso sia risolvibile, sia che non lo sia), incorrono in una seconda infezione nei sei \u00a0mesi successivi nel 62% dei casi.<\/p><\/blockquote>\n

Poco rassicurante, evidentemente sanno che gli utenti \u201cdistratti\u201d sono recidivi.<\/p>\n

Il canarino in miniera<\/h2>\n

\"\"<\/p>\n

Termino questo articolo citando il canarino in miniera.<\/p>\n

Perch\u00e9 i Canarini venivano usati nelle miniere di carbone?<\/p>\n

Fino al 1986 questi uccellini venivano utilizzati nelle miniere di carbone per segnalare la presenza di monossido di carbonio, a cui sono molto sensibili. La loro funzione era quindi di allarme: i minatori se li portavano dietro sapendo che quando smettevano di cantare c’era da allarmarsi appunto.<\/p><\/blockquote>\n

Usate uno o pi\u00f9 files sul desktop per capire l\u2019infezione.Se vedete l\u2019icona cambiare siete in pericolo!
\nPer finire ecco un\u2019esempio di come sono stati trasformati files .doc .xls .pdf:<\/p>\n

\"esempi<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Prima di tutto\u00a0spieghiamo cos\u2019\u00e8 Cryptolocker. CryptoLocker \u00e8 un trojan comparso nel tardo 2013. Questo virus \u00e8 una forma di Ransomware infettante i sistemi Windows e che consiste nel criptare i dati della vittima, richiedendo un pagamento per la decriptazione. Symantec stima che circa il 3% di chi \u00e8 colpito dal\u2026<\/p>\n

continua<\/span><\/i><\/a> <\/p>\n","protected":false},"author":1,"featured_media":99,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[49,50,6,48,27],"_links":{"self":[{"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/posts\/96"}],"collection":[{"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/comments?post=96"}],"version-history":[{"count":3,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions"}],"predecessor-version":[{"id":102,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions\/102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/media\/99"}],"wp:attachment":[{"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/media?parent=96"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/categories?post=96"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gianfranco-marchioni.it\/index.php\/wp-json\/wp\/v2\/tags?post=96"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}