Era naturale aspettarsi un’evoluzione di questa tipologia di virus tra i più subdoli e più remunerativi per i cybercriminali degli ultimi anni, e infatti non ha tardato ad arrivare: l’ultimogenito è il ransomware Locky, che come i precedenti cripta i dati presenti sul pc (principalmente documenti, email, video e immagini) con crittografia AES a 256 bit, praticamente inviolabile. Come i precedenti, anche il ransomware Locky si diffonde tramite email con allegati di Microsoft Word, i quali contengono delle macro che se eseguite (Word di default disabilita l’esecuzione delle macro) danno il via al download del virus vero e proprio, che a quel punto si cela sotto le sembianze di servizio di sistema e comincia con la criptazione dei dati; contemporaneamente il ransomware elimina anche le Shadow Copies, ultima speranza di recupero dei propri dati quando si è infettati da ransomware e non si hanno copie di backup (siete stati infettati e non avete copie di backup? Leggete qua).

ransomware Locky avviso
L’avviso che il ransomware Locky imposta anche come sfondo del desktop.

Fin qui, niente di nuovo, dato che tutte queste “funzionalità” le avevano anche le precedenti varianti come Cryptolocker: quello che rende ancora più pericoloso il ransomware Locky e le nuove varianti che non tarderanno ad arrivare, è che riesce ad accedere anche alle risorse di rete non protette, quindi una volta criptati i dati sul pc va ad agire anche su quelli presenti nelle cartelle di rete non mappate, come nas, server o altri pc collegati alla stessa rete; questo significa che se fate salvataggi su cartelle condivise da altri pc, anche se non mappate sul proprio computer, questi sono potenzialmente inutili in caso di infezione.

Inutile sottolineare ancora una volta l’importanza di avere una strategia di backup dei dati in atto, stavolta con un’attenzione particolare non soltanto all’effettiva efficienza e periodicità del backup stesso, ma anche alla messa in sicurezza della destinazione del backup stesso. E’ per questo che ci sentiamo di consigliare ancora una volta di affiancare ad un backup locale di tipo tradizionale (magari su nas o server locale, più sicuri dei dischi esterni usb), un backup remoto o geografico: con un backup di questo tipo, controllato quotidianamente, potrete effettuare salvataggi dei vostri dati più importanti su un server posizionato geograficamente in una zona diversa dalla vostra, che quindi vi mette al sicuro dalle situazioni non “informatiche” più gravi (incendi, allagamenti, furti, ecc.), e con una connessione protetta tramite ssh che vi mette al riparo dalla criptazione dei dati dello stesso backup. Il controllo di versione dei file o versioning che viene utilizzato poi è una garanzia in più, nel caso in cui vi siate accorti dell’infezione solo dopo aver effettuato il backup geografico, perchè permette di recuperare versioni dei file precedenti all’esecuzione del malware.

In conclusione, oggi come non mai è importante sapere di poter contare sui propri dati, e non investire oggi sulla pianificazione del backup dei dati può rivelarsi un errore irreversibile.
Se volete una consulenza gratuita sullo stato del vostro backup attuale, o semplicemente per saperne di più, potete consultare questa pagina oppure contattarci tramite il modulo di contatto.

Un pensiero su “Il ransomware Locky cripta le cartelle condivise

I Commenti sono disabilitati.