Il Cryptlocker che non chiede il riscatto
Oggi abbiamo trovato un ransomware che non chiede il riscatto.
E allora, cosa l’hanno fatto a fare? Le minacce di ultima generazione puntano alla richiesta di un riscatto, o comunque all’estorsione di denaro. 
Sembra più un attacco di DOS (Denial of Service), ovvero un attacco mirato ad interrompere la continuità lavorativa di un’azienda. Ma andiamo a vedere come ha agito. Il sistema di accesso ai computer dell’azienda, come al solito, è stato un messaggio di posta elettronica. Nonostante i nostri clienti siano istruito sui sistemi per evitare di aprire allegati pericolosi, un momento di distrazione può capitare a tutti.
Una volta entrato, il virus, ha criptato solo le cartelle di rete mappate sul computer infetto. Non ha lasciato messaggi sul computer infetto che chiedessero l’eventuale riscatto, e non ha criptato file sul pc infettato. Non essendo stato rilevato dall’antivirus, su un parco macchine di 30 pc è stato difficile anche individuare da dove è partita l’infezione.
Ma anche spenta la macchina infetta, e recuperati i file originali, ad un certo punto li abbiamo trovati nuovamente criptati.
Cosa stava succedendo? Osservando meglio i file che a prima vista ci sembravano criptati, in realtà, a parte il nome che era quello dei nostri precedenti file, il loro contenuto era il medesimo per tutti, e l’estensione era JSE. Che tipo di file è un JSE? E’ un file di script di Java, in buona sostanza un eseguibile. In questo caso, ogni computer della rete che ha cercato di aprire i file con estensione JSE, non ha fatto altro che lanciare nuovamente il virus, che ha nuovamente modificato tutti i file di rete, e infettato la macchina. Nel giro di poche deciso e di minuti, quasi tutti i pc erano infetti.
Abbiamo dovuto isolare tutti i computer dalla rete, individuare un sistema di rimozione del virus (non è stato semplice dato che molti antivirus non l’hanno rilevato), ripristinare i file dal backup precedente, e ricollegare i pc in rete uno ad uno, attendendo un tempo sufficiente ad essere sicuri che non fosse più infetto.
Ore di lavoro che ci hanno portato con soddisfazione a risolvere il problema.