Dopo il virus della Polizia, la nuova minaccia capace di inibire l’accesso al computer si chiama TorrentLocker. Ecco come sbloccare i tuoi file senza pagare
Sembra solo ieri quando la principale preoccupazione di ogni sistemista era il classico virus giocherellone che faceva impazzire il mouse e provocava la “caduta” delle lettere sullo schermo. Ebbene, questi piccoli programmini creati allo scopo di dare fastidio (o, come qualcuno sostiene, messi lì apposta dai produttori di antivirus) fanno oramai meno dann i di quanto non fosse in passato grazie ad una maggiore sensibilizzazione degli utenti riguardo gli antivirus. A questo si aggiunga che dalla versione 8, Windows integra il suo software di sicurezza Defender in modo da garantire anche ai più sbadati una protezione efficace.
Le minacce si evolvono
Nonostante i computer siano molto più protetti oggi che allora, i programmatori di virus informatici non si sono dati per vinti, inventando nuovi e più subdoli metodi per causare danni ai nostri sistemi: worm, Spyware, backdoor e dialer, che per comodità si è pensato di raggruppare sotto la voce malware, sono le nuove minacce per gli utenti più sbadati che non fanno attenzione agli allegati di posta o gironzolano su siti Web poco affidabili. Da qualche tempo, però, una nuova minaccia è “entrata in città”, una nuova tipologia di malware che ha fatto parlare così tanto di sé da meritare persino un nuovo appellativo: ransomware e cioè un virus specializzato nei sequestri di dati personali a scopo di riscatto (la parola ransomware è, per l’appunto, una contrazione delle parole inglesi ransom, riscatto, e malware).
Anatomia di un ransomware
CriptoLocker è stato il primo ransomware della storia, un cavallo di troia comparso alla fine del 2013 e diffusosi come allegato di posta elettronica. La minaccia è stata resa inoffensiva recentemente (è possibile decrittare i file presi in “ostaggio” dal malware servendosi di un tool gratuito disponibile all’indirizzo Web https:// www.decryptcryptolocker.com), ma subito un altro ransomware ne ha preso il posto spacciandosi per l’originale: si tratta di TorrentLocker, che ha iniziato a diffondersi dallo scorso mese di agosto (anche se la sua prima apparizione l’ha fatta nel febbraio 2014). Come il suo predecessore, il nuovo ransomware è in grado di infettare tutte le versioni di Windows, scansionare silenziosamente il computer (incluse le risorse
di rete mappate con una lettera di volume, le chiavette USB e gli hard disk esterni) e criptare con una chiave RSA-2048 o RSA-4096 buona parte dei documenti che trova: file di Office, Photoshop, CorelDraw, 3DStudio e Autocad, archivi compressi (ZIP e RAR), immagini JPEG, video MPEG e molti altri. Una volta terminato il suo lavoro, TorrentLocker avvisa l’ignaro utente che se vorrà tornare ad utilizzare ancora i suoi file dovrà versare una somma di denaro di ben 550 dollari in Bitcoin (la moneta virtuale di Internet) ad uno specifico indirizzo e-mail. Se anche non dovesse leggere questo primo avviso, la vittima del ransomware troverà comunque un file nominato ISTRUZIONI_DECRmAZIONE HTML dentro ogni cartella criptata, contenente tutte le informazioni necessarie per pagare il riscatto. Anche nel caso di TorrentLocker, il metodo di infezione è il banale allegato di posta elettronica contenente un file EXE (in quasi tutte le versioni di TorrentLocker questo file viene distribuito in formato CAB) che, se non è attiva la visualizzazione delle estensioni per i file conosciuti, può essere facilmente scambiato per uno ZIP o un’immagine JPEG e quindi aperto incautamente.
Vuoi usare il PC? Paga il riscatto!
Sfortunatamente, al momento non c’è modo di recuperare la chiave privata che permette la decrittazione dei dati senza pagare il riscatto richiesto dal malware. Non serve a nulla neanche applicare un algoritmo di “brute force” (lo stesso che si usa, di solito, per mettere in chiaro password e chiavi di accesso) per tentare di decriptare la chiave RSA: il tipo di codifica utilizzato renderebbe l’impresa davvero impossibile. Il solo modo per riavere i propri file è tentare di recuperarli da un backup usando uno strumento di recovery come PhotoRec ed R-Studio (presenti entrambi nella sezione Antivirus&Sicurezza del Win CD/DVD-Rom) o dalle Copie Shadow di Windows (sempre che sia attiva la funzione di Ripristino del sistema e che il virus non le abbia già cancellate). Per completare la loro opera malevola, gli sviluppatori di TorrentLocker hanno creato il sito Web CryptoLocker Buy Decryption accessibile solo sulla rete TOR (per garantirsi ovviamente l’anonimato)”. Il riscatto, inoltre, viene sempre richiesto in Bitcoin in modo che i flussi di denaro non possano essere tracciati. Una volta effettuato il pagamento, sullo stesso sito Web verrà reso disponibile un software di decrittazione che farà tornare i file alla loro condizione iniziale. Almeno questo è quello che promettono i creatori del virus: ma di questa gente, si sa, non conviene mai fidarsi e l’unica arma di difesa dal ransomware è, come sempre, la prevenzione!
Una sentinella al nostro servizio
Il modo migliore per prevenire l’infezione da TorrentLocker è l’istallazione dell’utility CryptoPrevent: il programma, sostanzialmente, aggiunge delle regole al computer su come comportarsi con i file eseguibili. L’applicazione è gratuita e in versione “portable”. Una voltaavviata, saràsufficienteapplicarel’impostazione0efetf/fe cliccare Apply per fare in modo che TorrentLocker non rappresenti più un problema.
Attiviamo la cronologia
Dal Pannello di Controllo aggiungiamo la voce Cronologia File e attiviamola sulle risorse di sistema che desideriamo proteggere. È buona norma utilizzare questa funzione solo se disponiamo di un hard disk molto capiente, in quanto verrà effettuato il salvataggio di ogni singola modifica ai file senza alcun limite di spazio, a meno di non impostarne uno (come ad esempio salvare le versioni fino a 6 mesi) nelle Impostazioni Avanzate.
Mostriamo le estensioni dei file
Clicchiamo sull’icona Opzioni Cartella all’interno del Pannello di Controllo e, dalla scheda Visualizzazione, deselezioniamo la casella contenente la voce Nascondi le estensioni per i tipi di file conosciuti. In questo modo un file che un hacker può aver nominato come virus, jpg.exesì vedrà nella sua estensione completa (anziché privato dell’estensione .exe) e non potrà essere scambiato per unasemplice immagine.
Come rimuovere TorrentLocker o CriptoLocker : guida alla rimozione del virus
Installiamo e avviamo il programma Shadow Explorer, indichiamo l’unità dove risiedono i file da ripristinare (freccia blu) e la data del ripristino (freccia rossa). Selezioniamo col tasto destro le cartelle interessate e dal menu contestuale clicchiamo su EXPORT.
Se abbiamo attivato la funzione Cronologia file di Windows, possiamo recuperare il file non criptato dal virus selezionandolo col tasto destro e cliccando Ripristina o, ancor meglio, se abbiamo Windows 8, direttamente dal File £xp/orerselezionando il file o la cartella e cliccando Cronologia nella barra strumenti.
Nel caso in cui i file siano sincronizzati con un account Dropbox, raggiungiamo l’interfaccia Web del servizio cloud, selezioniamo col tasto d estro il file criptato e clicchiamo Versioni precedenti. A quel punto saremo in grado di scegliere la versione corretta del file e ripetere la procedura su tutti gli altri.
