TeslaCrypt: Rimangono sempre attuali i software nocivi che cifrano i vostri dati e richiedono un riscatto (ransomware)

03.12.2015 - Diverse segnalazioni riguardanti il software nocivo chiamato TeslaCrypt ricevute negli ultimi giorni dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI testimoniano un aumento della diffusione di questa variante di ransomware che, una volta installato, cifra i files e intima l’utente a pagare un riscatto per poterli ripristinare.

Diverse segnalazioni riguardanti il software nocivo chiamato TeslaCrypt ricevute negli ultimi giorni dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI testimoniano un aumento della diffusione di questa nuova variante di ransomware che, una volta installato, cifra i files e intima l’utente a pagare un riscatto per poterli ripristinare. Dopo le lunghe ondate di attacchi ransomware quali Cryptolocker, Synolocker, Cryptowall ecc. sembra ci sia una nuova variante che si diffonde quasi prettamente tramite allegati e-mail infettati (Un allegato di tipo „.zip“ che contiene un file di tipo „.js“). Una volta installato, il ransomware TeslyCrypt cifra i files che si trovano sul computer (as es. Foto, documenti Excel o Word). Alla vittima viene presentato in seguito un messaggio in cui i criminali intimano a pagare un riscatto in cambio della chiave necessaria per poter ripristinare i file (estorsione).

Beispiel_eines_Erpresserschreibens
Esempio di messagio d’estorsione

 

Diversi prodotti antivirus possono trovare e distruggere il software nocivo, ma spesso è troppo tardi, perché i files che si trovano sul computer sono già stati cifrati. Perciò il problema non è tanto la rimozione del software nocivo quanto il ripristino dei dati originali. Per il momento sembra non esistere un metodo per decifrare i dati senza la chiave, nota solo ai truffatori. Ciononostante MELANI sconsiglia di assecondare le richieste dei criminali effettuando pagamenti. Non vi è nessuna garanzia che i criminali mantengano la parola e inviino la chiave necessaria per decifrare i file. Il pagamento di un riscatto finanzia ulteriormente questi criminali e permette loro di effettuare attacchi ancora piu efficaci. 

Misure preventive: 

  • copiare regolarmente i dati salvati sul computer su supporti dati esterni (backup), da collegare al computer solo durante il processo di backup;
  • usare prudenza se si ricevono e-mail inaspettate o che provengono da mittenti sconosciuti; ignorare le indicazioni, non aprire allegati o link.
  • il sistema operativo e le applicazioni installate (ad es. Browser, PDF Reader, ecc.) devono sempre essere aggiornati, se possibile tramite la funzione di aggiornamento automatico;
  • installare un antivirus sempre aggiornato;
  • installare un firewall personale sempre aggiornato;  

Raccomandazioni dettagliate si trovano sul sito Internet MELANI nella rubrica «Come mi proteggo?».

In caso di infezione si raccomanda di disconnettere subito il computer da tutte le reti. È ovviamente necessaria una disinfezione del computer. Di regola si raccomanda di reinstallare il sistema e cambiare tutte le password. Si consiglia di attuare queste misure con l'ausilio di specialisti. Dopo aver eseguito queste misure sarà possibile ripristinare i dati (se disponibili) grazie al backup effettuato in precedenza. Se non è stato fatto alcun backup dei dati, si consiglia comunque di tenere i dati cifrati così che, se viene trovata una soluzione, questi possano essere ripristinati.

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/teslacrypt.html