Il virus del riscatto, o Cryptolocker, è un virus che crittografa i files presenti in un computer rendendoli illeggibili.
Lo scopo di coloro che hanno creato questa famiglia di virus è quello di chiedere, alla vittima, un riscatto per ottenere un decrittatore in grado di recuperare i files danneggiati.
Nella maggior parte dei casi, il virus si diffonde attraverso un allegato ad un'email fraudolenta. Spesso si inocula nel sistema attraverso pagine web infette, In casi più rari entra in un computer sfruttando una connessione di Desktop Remoto protetta da una password troppo semplice.
Quale che sia la modalità d'infezione, il danno provocato è molto simile. Nello specifico:
- Vengono crittografati i file utente degli hard disk del computer(le estensioni dei files variano a seconda della tipologia di virus, sono comunque colpite le estensioni più diffuse come: .DOC,.DOCX,.XLS, .XLSX, .PDF, .JPG, .MDB, .PST).
- Vengono crittografati i file presenti in hard disk o pennette USB connessi al computer al momento dell'infezione o successivamente.
- Vengono crittografati i file dell'utente presenti in cartelle di rete condivise da altri computer.
Cosa è importante sapere:
- I files crittografati dal virus vengono parzialmente riscritti con un codice di crittografia la cui chiave è univoca (diversa per ogni computer infettato) e segreta. Gli unici a conoscerla sono i creatori del virus. Tali files non possono essere più aperti, letti o modificati.
- I files crittografati non sono infettanti, così come eventuali hard disk o pennette USB colpiti dal virus non propagano l'infezione se attaccati ad altri computer.
- Ad ogni riavvio, nella maggior parte delle infezioni, il virus si riattiva e continua la sua opera distruttiva. È quindi buona norma tenere un pc infetto spento.
- In caso di ambienti di rete con cartelle condivise da un server, un NAS o altri computer,è fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione del danno.
La variante più diffusa in questi giorni viene inoculata nel computer cliccando un link all'interno di una falsa email proveniente da un indirizzo email a volte conosciuto, contenente un allegato ZIP, un file DOC o un file XLS di una fattura. All'interno del file ZIP si trova un file con estensione JS o EXE, che inocula il virus. Molto attiva è una variante che colpisce i SERVER attraverso un accesso fraudolento in Desktop Remoto.
Quest'ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito, sia perchè i riscatti chiesti sono estremamente costosi (si arriva facilmente a 10 Bitcoin di richiesta).