A volte ritornano… come nell’omonima saga cinematografica anche stavolta non stiamo parlando di qualcosa di bello, bensì della nuova versione di Cryptowall (parente stretto del Cryptolocker), elemento di punta della categoria dei ransomware.
Con questo nome si definiscono quei programmi che infettano server e pc criptandone i dati e rendendoli inaccessibili se non dietro il pagamento di una somma di denaro (tipicamente da corrispondere mediante Bitcoin) intorno ai 500€.
Il Cryptowall inizia a codificare i file di Office (pptx, docx, xlsx,…) e quelli di uso più comune (per esempio i pdf) partendo da quelli modificati meno di recente (in modo che l’utente non si accorga di nulla).
Cryptowall parte codificando i file locali al PC che è stato infettato e poi si diffonde alle cartelle condivise in rete (le share di rete condivise da un file server).
Una volta terminato il lavoro Cryptowall fa apparire una schermata in cui spiega quello che è stato fatto e fornisce le istruzioni per riscattare i file criptati.
La nuova versione di Cryptowall mantiene l’encryption dei file usando l’algoritmo RSA-2048.
La nuova versione cripta
anche il nome dei file (non solo il loro contenuto) rendendo quindi praticamente impossibile capire quali file siano stati criptati.
Inoltre nella schermata che fornisce le istruzioni per il decrypt dei file vengono anche inserite delle scritte che dileggiano il malcapitato (simpaticoni!).
Per la rimozione del virus (perchè di questo si tratta) si può usare un removal tool, uno dei migliori è quello di MalwareBytes (http://www.bleepingcomputer.com/virus-removal/how-to-use-malwarebytes-anti-malware-tutorial/).
Ma una volta infettati da Cryptowall (o da Cryptolocker o CBT) ci sono solo due modi per tornare in possesso dei propri file: pagare o ripartire da un backup. Non ci sono altre soluzioni.
Il backup di tipo migliore è un cloud backup, cioè fatto esternamente alla sede in cui risiedono i file che sono stati codificati. In questo modo il virus non può certamente corromperli.