I ransomware sono quei famosi virus che criptano i dati personali e – poi – richiedono il pagamento di un riscatto, generalmente in criptomoneta BitCoin, per ottenerne (così si dice) lo sblocco. Tra i più temibili della categoria, in questi mesi è tornato a colpire una “vecchia conoscenza” delle software house di sicurezza, ovvero CrySiS, che – però, oggi – può essere affrontato con un’arma in più: vediamo quale.
CrySiS è un malware di tipo ransomware le cui prime avvisaglie sono state registrate ai principi del 2016: dopo circa 5 mesi di circolazione sul web, la sua diffusione era davvero enorme e, purtroppo, ad oggi, inarrestabile. Il modo in cui si propaga CrySiS – tornato a diffondersi con una certa recrudescenza in questo finale d’anno – è sempre lo stesso: probabilmente attraverso finti aggiornamenti di sicurezza, o tramite allegati email inopinatamente aperti, in quanto contenuti in verosimili email di phishing.
Una volta installato, CrySiS scansiona tutto lo storage locale, alla ricerca dei file con le più diffuse estensioni, e cripta il tutto con gli algoritmi RSA e AES-128, restando – per tutto il resto – silente. Quando ci si accorge del patatrac, perché si prova ad aprire un file ormai blindato, viene caricato un alert in forma testuale (Help_Decrypt_FILES.HTM, Help_Decrypt_FILES.TXT), o grafica (Help_Decrypt_FILES.BMP) nel quale si invita l’utente a scrivere ad una determinata casella email (l’ultra-sicura ProtonMail) per acquistare un programma chiamato, ad hoc, “CrySis ransomware decryptor”.
Acquistandolo, così reca l’avviso che compare a monitor, si genereranno le chiavi necessarie a sbloccare i propri file. Ovviamente, è ben difficile che la parola data venga mantenuta, a pagamento avvenuto: nella migliore delle ipotesi, i cybercriminali spariranno col malloppo e, nel peggiore dei casi, si scaricheranno ulteriori virus.
Per questo motivo, qualora siate stati già contagiati, si può provare con i rimedi di routine quando si viene colpiti da un ransomware. In primis, è possibile ricorrere a Recuva, il tool della Piriform, nella speranza di recuperare delle copie non criptate dei propri file, oppure si può procedere con un ripristino di sistema, ad un momento in cui il terminale non era stato infettato, e – ivi giunti – provare ad effettuare un controllo, in modalità provvisoria, col proprio antivirus aggiornato, o con ReImage che – dopo aver scansionato il PC grazie al motore di Avira AntiVir – procede all’eventuale ripristino dei file ancora danneggiati.
Se, neppure questo sistema ha funzionato, nel debellare CrySiS, si può optare per “CrySiS Decryptor”, il tool appena messo a disposizione dalla security house “Qihoo 360 Technology Co. Ltd”, già realizzatrice di “360 Total Security”, l’affidabile antivirus cinese basato sull’azione combinata di Avira, BitDefender, e QVMii AI (sistema proprietario di tipo proattivo).
Per il futuro, ad ogni buon conto, sarà sempre consigliabile eseguire un preventivo backup dei propri dati su periferiche esterne, poi tenute da parte, aggiornare correntemente antivirus e firewall, installare gli aggiornamenti dei programmi usati dai relativi siti istituzionali, ed evitare di rivolgersi a siti “dubbi”, o a programmi poco noti, per ottemperare alle proprie esigenze.