Block with Lock Graphic on Computer Keyboard

Tra le minacce in rete più temute, si riscontra recentemente una certa diffusione del ransomware CryptoLocker, ossia un particolare programma appartenente alla famiglia dei virus informatici in grado di causare un danno al proprio computer e chiedere denaro in cambio per ripristinarlo alle condizioni antecedenti il contagio. Il CryptoLocker è progettato in particolare per rendere inutilizzabili i file personali archiviati all’interno delle cartelle del sistema operativo, poiché, una volta entrato nel computer, li legge velocemente e li codifica mediante un potente algoritmo di criptazione, la cui chiave di decriptazione è in possesso esclusivamente dell’autore del virus stesso.

La via di infezione più comune del virus CryptoLocker è la posta elettronica, dopodiché esso può diffondersi rapidamente anche ai computer collegati alla rete locale domestica o aziendale, bloccando i file contenuti sulle altre macchine. Il danno diretto può essere relativamente contenuto se il computer colpito contiene file di poco valore, ma se si tratta invece di un terminale o più dispositivi impiegati dalla pubblica amministrazione o all’interno di una azienda privata, l’entità del problema può assumere dimensioni anche molto rilevanti.

A questo punto ogni tentativo di recuperare i file o, peggio ancora, di affidarsi a qualche sistema antivirus, risulta sostanzialmente inutile se non addirittura pericoloso: CryptoLocker può infatti “accorgersi” dell’attività dell’antivirus ed essere programmato per eliminare definitivamente la possibilità di recuperare i file criptati.

Tentare di risalire all’autore del misfatto è praticamente impossibile, poiché, anche dietro al pagamento dell’importo richiesto, non è possibile rintracciare il percorso del denaro in quanto è convertito in moneta elettronica (Bitcoin).

Davanti ad una simile minaccia solo la prevenzione può evitare il peggio. Quando i computer da proteggere sono diversi, si potrebbe realizzare un sistema di condivisione delle risorse, in particolare dando la possibilità a tutti i terminali di accedere mediante permessi individuali a spazi circoscritti all’interno di una cartella di rete. Se però occorre avere accesso anche ai documenti dei colleghi per condividere i vari lavori, come spesso accade in ambito aziendale, si evidenziano immediatamente i limiti di tale configurazione organizzativa. La possibilità di salvare i file residenti sui singoli computer mediante backup risulta d’altra parte difficilmente realizzabile o troppo macchinosa, poiché il programma di copia e salvataggio dovrebbe essere in grado di perlustrare ogni cartella di ogni singola macchina.

Tuttavia, anche quest’ultimo sistema descritto non garantirebbe la protezione massima dei file dalle nefaste conseguenze dell’infezione da CryptoLocker. Occorre dotarsi infatti di un sistema di backup in grado di copiare tutti i file di lavoro e salvarli in copia in un’area “invisibile” ai singoli PC. Questo consentirebbe ai relativi file contenuti in tale area di non essere raggiungibili dal virus in quanto non li può “vedere” dal computer infettato.

(Immagine 1 – Esempio di area dati “invisibile ai PC della rete”, su cui effettuare i backup)
copyqubica - cryptolocker

Nell’area virtuale contenente la copia dei file da difendere dovrebbe inoltre avere accesso esclusivo solo il sistema di backup, il quale dovrà essere concepito appositamente per essere inviolabile a questo tipo di attacchi informatici e, possibilmente, lavorare anche in modalità incrementale. Al riguardo, la piattaforma Linux offre già una maggior protezione per ragioni intrinseche alla tecnologia del suo sistema.

Con la creazione di un archivio ad accesso unico da parte di un sistema non residente all’interno dei vari computer da lavoro ovvero potenzialmente esposti alla minaccia del CryptoLocker, è possibile garantire una sufficiente protezione ai dati. Infine, è consigliabile che tale archivio sia in grado di conservare un numero il più possibile elevato di versioni dei vari file salvati, poiché, maggiore è lo storico disponibile, tanto più probabile sarà il recupero della singola risorsa eventualmente danneggiata.