News I Virus che criptano i tuoi dati aziendali

(I dati di cui sopra sono forniti da Malwarebytes.com)

Da qualche tempo si sta verificando un picco di spam contenente virus molto pericolosi, in grado di criptare il contenuto del disco dei PC e dei server e delle unità esterne di rete o usb contenenti dati e/o backup, con conseguente richiesta di riscatto per poter ottenere la chiave in grado di rendere nuovamente disponibili i dati (de-criptandoli)
I sistemi automatici di protezione, come gli antivirus e gli antispam, filtrano il grosso dei potenziali rischi ma non riescono mai a raggiungere il 100% di successo, specialmente nel caso di minacce molto recenti che potrebbero non essere ancora riconosciute.

Ne consegue che qualsiasi allegato ricevuto in posta elettronica DEVE essere considerato potenzialmente pericoloso, e valutato anche con l’apporto dell’intelligenza umana, dall’utente o, in casi dubbi, da un tecnico
Le ragioni sono molteplici:

1 – potrebbe essere un virus o un codice malevolo non ancora riconosciuto e di conseguenza fatto filtrare erroneamente dall’antispam e dall’antivirus
2 – potrebbe essere un virus che ha infettato il computer di un vostro corrispondente che è stato aggiunto alla white list dell’antispam (su vostra richiesta o di un collega)
3 – potrebbe essere un virus o un codice malevolo che vi è stato inoltrato da un ignaro collega con pc infetto attraverso la posta interna
4 – potrebbe essere un codice realizzato ad hoc e quindi tecnicamente non un vero e proprio virus, non riconoscibile come minaccia dai sistemi antispam / antivirus.

Gli allegati potenzialmente pericolosi si riconoscono dalle icone o meglio dalle estensioni cioè la parte del nome che segue il punto (es: in DOCUMENTO.DOC l’estensione è DOC, in FOGLIO.XLS è XLS).
Le estensioni pericolose più diffuse sono

1 – Documenti Office (Word Excel, Powerpoint) DOC, .DOCX, .DOT, .XLS, .XLSX, .PPT
2 – Programmi eseguibili .EXE, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .DLL, .MSC, .MSI, .HTA, .MSP, JS, .PS1, .PS2, REG, .LNK, .INF
3 – macro di office .DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM, .DOC, .DOCX, .XLS, .XLSX
4 – File di archivio  .ZIP, .RAR, .ISO perché ingannano più facilmente l’antispam e possono contenere gli altri tipi di file pericolosi

MAI aprire un allegato che abbia una estensione sconosciuta (quindi diversa dalle classiche DOC, DOCX, XLS, XLSX, PDF che ben conosciamo), non dimentichiamo però che potrebbero anche questi allegati essere dei CryptoLOCKER, quindi occhi aperti e nel dubbio non apriteli MAI o apriteli dopo qualche giorno se proprio dovete (così l’antivirus avrà il tempo di conoscere l’esistenza di questa nuova infezione), non fidatevi nemmeno se arrivano da un vs. amico o cliente a voi noto in quanto magari sta inviando a sua insaputa delle infezioni ai suoi contatti della rubrica ove siete ahimè presenti anche voi
Quindi se si riceve un allegato con una estensione diversa da queste, il livello di attenzione si deve immediatamente alzare.

Non c’è ragione al mondo per aprire un allegato di tipo eseguibile o macro (quindi che SIA EXE, CMD, BAT, SCR, JAR, WS, VBS, DOTM, XLAM, ecc.) inclusi allegati Word (DOC e DOCX) ed Excel (XLS e XLSX) che pretendono di farti abilitare le MACRO: mai attivare la MACRO di un file allegato alla mail senza prima accertarsi, via telefono magari, che il mittente ce lo abbia spontaneamente inviato e sia quindi a conoscenza che tale file non sia infetto

Un altro modo di ingannare i sistemi e gli utenti è l’uso della doppia estensione.
Se L’utente riceve un allegato che si chiama APRIMI.PDF.exe sarà portato a credere di avere a che fare con un innocuo documento PDF, in realtà è l’estensione presente DOPO il punto situato più a destra
che definisce il tipo di file. Si tratta quindi di un eseguibile che con ogni probabilità sarà stato nominato in quel modo con scopi fraudolenti.

Ultimamente sta aumentando il numero di casi in cui il virus non viene allegato al messaggio, ma in quest’ultimo viene incluso un collegamento ad un sito esterno.
Se l’utente clicca sul collegamento, avvia il download del virus, quindi MAI cliccare sui link allegati alle e-mail sospette, anche se provenienti da mittenti conosciuti

La provenienza del messaggio, in sé, non costituisce una garanzia. Tipicamente questi messaggi fraudolenti usano tecniche di mascheramento (spoofing) e di ingegneria sociale per apparire “normali”, nascondere le caratteristiche che potrebbero mettere in allarme e indurre gli utenti ad aprirli.
Nel dubbio potete inoltrare la mail ricevuta a noi richiedendo di verificare se si possa trattare di un messaggio sospetto (necessario contratto di assistenza tecnica attivo, siamo a disposizione per ulteriori delucidazioni)

E’ più che mai necessaria l’attenzione e la collaborazione di tutti per innalzare il livello di consapevolezza dei rischi e dei limiti dei sistemi automatici di protezione.