Il Comune di Coriano attaccato da Cryptolocker: informatico evita il disastro

Nella mattinata del 3 dicembre la rete interna del Comune di Coriano è stata messa sotto attacco da uno dei virus più cruenti degli ultimi anni. Verso le 9 da un pc della rete è stato aperto un allegato in formato ZIP da un messaggio di posta elettronica. Il virus in questione è Cryptolocker, creato ad arte dai gruppi che su internet lo diffondono via mail.

La macchina (pc) da cui è partito il virus è stata interamente compromessa, così anche uno dei server che ad oggi è già in corso di ripristino. Riferisce il sindaco Domenica Spinelli: “Se avessimo tardato ad intervenire poteva andare diversamente e tutti i dati digitali del Comune sarebbero stati definitivamente persi”.

A fermare l’attacco è stato il tempestivo intervento da parte dell’ingegnere informatico Simone Torsani, ricorda il sindaco Spinelli, “a cui evidentemente va il mio più vivo ringraziamento. E così abbiamo potuto evitare il disastro: la distruzione di tutti i dati informatici dell’Ente”.

Il Comune presenterà apposita denuncia alla Polizia Postale. “Sappiamo che in questi giorni sono stati sotto attacco anche altri enti e privati”, che allega anche una scheda sul virus e su come cercare di difendersi. “Confidiamo che la diffusione della notizia di questo evento possa evitare gravi danni ad altri utenti”.

Il meccanismo di funzionamento del virus
Cryptolocker è molto evoluto e la sua propagazione su altre macchine è velocissima.
L’obiettivo di questo virus è quello di criptare tutti i documenti della vittima dell’attacco, sia presenti sul pc che su cartelle di rete mappate da tale pc e chiedere un riscatto in denaro per ottenere la password di sblocco dei documenti criptati. In alcuni casi se il virus non riesce a criptare i dati procede poi a distruggerli in maniera irreparabile.
Non si tratta di un virus come tanti altri che bloccano una sola macchina: se non viene fermata la sua propagazione è a rischio l’intera rete locale ed i dati in essa contenuti. Questo virus si diffonde esclusivamente attraverso allegati a messaggi di posta elettronica, generalmente in formato ZIP, ma anche a volte PDF, DOC, DOCX, JPG ed altri.
Il messaggio di posta deve essere letto con estrema attenzione, questo perché per confondere l’utente il virus utilizza il mittente di un utente conosciuto (collega di lavoro, amico, ecc.) in modo da far sembrare la mail e il suo allegato affidabile. Spesso nell’oggetto ci possono essere riferimenti ad attività lavorative (es. invio fattura numero 3, conferma ordine, ecc.). Tra gli ulteriori destinatari in copia del messaggio possono poi esserci altri indirizzi conosciuti (nel caso di questa infezione virale c’era l’elenco delle mail dei colleghi di lavoro del Comune di Coriano).
Il problema principale del virus Cryptolocker è che non viene identificato da nessun programma antivirus, nemmeno da quelli a pagamento, in quanto ogni giorno vengono create migliaia di varianti del medesimo con firme virali diverse e gli antivirus non riescono ad aggiornarsi per tenere conto delle nuove firme virali (dovrebbero aggiornarsi ogni 5 minuti, il che è impossibile !). Nemmeno i sistemi antispam possono molto, perché si basano su indici di affidabilità dei singoli mittenti che vengono controllati tramite appositi server sparsi per il mondo, che vengono anch’essi sistematicamente attaccati in modo da far risultare affidabili dei mittenti che in realtà non lo sono.
Una volta fatto doppio click su un allegato, la velocità di espansione dell’infezione virale è elevatissima: il pc che è stato attaccato e che ha immediatamente iniziato a contaminare i server è stato distrutto (tutti i dati criptati) in meno di mezz’ora ! (Evidentemente l’algoritmo di criptaggio è molto efficiente in quanto progettato per fare i maggiori danni possibili) e subito dopo è partita l’infezione sulle cartelle di rete
connesse al pc.
L’attività di criptaggio del virus Cryptolocker colpisce tutte le cartelle del pc in ordine alfabetico A..Z e poi si estende a quelle di rete sempre rispettando l’ordine alfabetico.
Insomma ad oggi NON ESISTONO CONTROMISURE QUANDO PARTE QUESTO ATTACCO.
Le uniche contromisure ad oggi, vista la gravità del virus Cryptolocker e soprattutto l’inutilità dei servizi antivirus/antispam nel bloccarlo, e i danni irreversibili che può provocare sono:
1) in presenza di una mail che contiene un allegato, verificare innanzi tutto l’indirizzo del mittente. Se non e’ un indirizzo noto ed ha un nome strano occorre cestinare subito la mail senza aprire assolutamente l’allegato.
2) se l’indirizzo del mittente e’ conosciuto, ma da questo non si attendeva alcun allegato occorre contattare telefonicamente il mittente per chiedergli conferma dell’invio della mail e del suo allegato. Se la risposta è negativa la mail dovrà essere cestinata senza aprire l’allegato. Lo stesso nel caso in cui il testo della mail e’ scritto in italiano sgrammaticato, senza accenti e apostrofi, e contiene un allegato.