Non se ne parla più molto ma il famigerato CryptoLocker continua a mietere vittime e molti utenti si trovano a dover fare i conti con il ransomware che ha tolto sonno (e denaro) a migliaia di persone. I software che cercano di identificare preventivamente il malware sono diversi, ma nessuno di quelli al momento disponibili può garantire che le proprie barriere difensive non vengano scavalcate.
Alcuni ricercatori statunitensi hanno quindi pensato di progettare un software in grado di intervenire quando la prima linea di difesa ha fallito ed il malware ha iniziato la suo opera di crittazione; Il suo nome è CryptoDrop.
CryptoDrop è un software complementare e non alternativo agli altri software antivirus ed ha il compito di intervenire e di bloccare l’azione del ransomware appena le operazioni crittografiche hanno inizio. Si tratta, quindi, di accettare un compromesso: blocco del malware in cambio della perdita (i.e. crittazione) di alcuni dati.
Il funzionamento di CryptoDrop consiste nell’analizzare e filtrare in tempo reale letture e scritture sul filesystem. L’algoritmo assegna un punteggio in funzione del gradi di similitudine tra input ed output; nei casi di crittazione il punteggio sarà basso. Si aggiungono, ovviamente altre analisi ed indicatori che consentono di fornire un risultato accurato.
I test eseguiti lasciano ben sperare. Sembra, infatti, che CryptoDrop riesca a bloccare il ransomware entro i primi dieci file crittografati. Una volta bloccata la sua azione, l’utente dovrà solo valutare se i file compromessi giustifichino la richiesta di ricatto, ma è sicuramente un notevole passo in avanti rispetto alla perdita della quasi totalità dei dati presenti sul proprio PC.
Esiste una versione anche per Linux; si chiama CryptoStalker e segue un percorso di identificazione più rigoroso e lascia all’utente la distinzione tra operazione di crittografia legittima ed illegittima.
CryptoDrop rappresenta un’arma in più per combattere il malware CryptoLocker, non dimentichiamo, però, che la miglior difesa consiste comunque nell’osservare la basilari norme di comportamento in materia di sicurezza informatica e nell’appurare, nel caso specifico, quale sia la vera natura del file che si sta per aprire.