malware Cryptolocker

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.046
150
63
PR
www.borgo-italia.it
ciao
ho ricevuto da un mio vecchio fornitore la seguente email che giro per avvisare

Gentile cliente,
è nostra premura informarmi sulla pericolosità della nuova versione del malware Cryptolocker che si presenta ora in una versione più subdola e si nasconde dietro una mail con oggetto "Bolletta per la fornitura di energia. Mittente: Enel Servizio Elettrico"
Non aprire la mail ed eliminarla immediatamente.
Il Cryptolocker, come abbiamo avuto modo di appurare da altri clienti, entra nel PC, si diffonde nella rete, attacca i server criptando i dati contenuti e rendendo i files inutilizzabili.
Se si dispone di backup è possibile ripristinare i dati sui server, perdendo magari il lavoro giornaliero, se non si dispone di backup i dati sono persi in modo irreparabile.
Le azioni possibili per difendersi dal Cryptolocker possono essere queste:

. Prestare attenzione alle mail che arrivano
. Non aprire allegati con html, zip o altre estensioni che non siano sicure
. Non aprire allegati con estensione .cab, .exe, .lnk, ecc. a meno di non essere estremamente sicuri che la mail sia reale
. Non cliccare sui collegamenti inseriti all'interno di email che, pur sembrando reali, rilanciano verso siti pericolosi
. Dotarsi di opportuna protezione Antivirus (Kaspersky per nostra esperienza è molto più efficace di altri AV. I clienti con il Kaspersky non hanno mai avuto problemi con il Cryptolocker).

Agli utenti più esperti possiamo consigliare:

. Effettuare frequentemente il backup dei sistemi.
. Aggiornare frequentemente il database del proprio Antivirus, attivando dove possibile i controlli aggiuntivi: controllo delle applicazioni, controlli proattivi, protezione della navigazione e controllo della posta.
. Munirsi di soluzioni di controllo contenuti a livello gateway (UTM firewall, content security gateways) in modo da poter controllare/filtrare il contenuto del traffico mail o web (Protec consiglia WatchGuard).
. Inibire, ove possibile, la ricezione di file eseguibili nelle caselle di posta elettronica ed il download di eseguibili dal web. Questa operazione eleva notevolmente il livello di sicurezza della rete, senza interferire con l'attività quotidiana degli utenti che, in genere, non presuppone il download, l'installazione o l'esecuzione di file.
. Attivare funzionalità anti APT (Advanced Persistent Threat) sulle soluzioni di sicurezza. Queste possono rilevare agevolmente una nuova minaccia eseguendo preventivamente il file, su macchine virtuali remote al posto dell'utente, reagendo in base al comportamento riscontrato. Le soluzioni anti APT sfruttano gli automatismi di analisi e l'alta diffusione dei malware come Cryptolocker come arma per impedirne l'accesso alla vostra rete.
. Attivare, ove possibile, soluzioni avanzate di End Point Protection. Queste soluzioni sono in grado di rilevare potenziali malware ancora sconosciuti in base al comportamento dell'eseguibile sul sistema operativo nel quale venga eseguito il file. Ad esempio, varianti di Cryptolocker utilizzano sistemi di memory overflow che possono essere facilmente riconosciute da sistemi avanzati di End Point Protection.
. Implementare sistemi avanzati di Analisi del comportamento (Behaviour Analysis) per capire quando, come e dove un'infezione di Cryptolocker si sta attivando in rete.

Il comportamento più sicuro è quello di prestare la massima attenzione alle mail che arrivano (spesso contengono errori visibili di ortografia o risultano il frutto di traduzioni approssimative, eliminarle subito).
In questi giorni l'argomento è bolletta per la fornitura di energia, domani potrebbe essere di una compagnia telefonica, di una banca, di un ufficio pubblico, delle poste, ecc..
Siamo a disposizione per eventuali vostri dubbi in proposito.
Buona giornata.

------------------
Silvano Rinaldo
------------------

Protec snc
Servizio informazioni
via Croce Rossa 56/9
35129 Padova
P.I. 00130380280
Tel.: 049 8079316
Fax: 049 8085436
Mail: [email protected]
Pec: [email protected]
Web: www.protec.it
 

Discussioni simili