Ransomware

Cosa sono i Ransomware?

I Ransomware sono un tipo di malware che limitano o bloccano l’accesso al proprio computer o dispositivo mobile, richiedendo un riscatto per riaverne accesso. Il termine “ransom”, tradotto letteralmente dall’inglese significa per l’appunto “riscatto” e la loro diffusione è partita inizialmente dalla Russia.

Esistono diversi tipi di Ransomware, ma principalmente li possiamo raggruppare in due categorie:

  1. Ransomware senza criptazione
  2. Ransomware a criptazione

 

 

 

Ransomware senza criptazione

I Ransomware senza criptazione bloccano l’accesso al proprio sistema operativo visualizzando un messaggio che inganna l’utente intimidendolo e lo induce a pensare di dover obbligatoriamente pagare il riscatto indicato nel messaggio. Questo tipo di Ransomware non arreca particolari danni al proprio sistema.

La maggior parte dei messaggi portano la firma di corpi delle forze dell’ordine, come per esempio della Polizia di Stato, della Guardia di Finanza o dell’FBI, avvisandovi di aver trovato del materiale compromettente sul vostro sistema e offrendovi la possibilità di porvi rimedio in cambio di una piccola somma di denaro. Altri invece simulano i messaggi di avviso di scadenza di software come antivirus o del sistema operativo stesso, così da indurre l’utente a rinnovare una licenza fittizia.

 

Ransomware a criptazione

I Ransomware a criptazione come i recenti WannaCry e Petya sono sicuramente tra i malware più pericolosi in circolazione. Questi infatti criptano i file del nostro computer con delle chiavi d’accesso sempre diverse ad elevato grado di sicurezza che vengono salvate su server sparsi per il mondo. Anche questo tipo di Ransomware visualizza una schermata, ma non blocca l’accesso al proprio sistema operativo. La schermata viene utilizzata per visualizzare le istruzioni di pagamento e ottenere così la password per l’accesso ai propri file. Il Ransomware a criptazione più diffuso è sicuramente “CryptoLocker” che richiede il pagamento del riscatto nella valuta virtuale Bitcoin.

 

Come rimuovere il Ransomware a criptazione e recuperare i file criptati

Come prima cosa ovviamente sarà necessario disconnettere il computer da Internet e dalla propria rete locale, evitando così che il malware continui la criptazione dei file. Il secondo passo è quello di rimuovere il malware utilizzando un motore di scansione come Malwarebytes o equivalente.

Il terzo passo, è quello di tentare di recuperare i file criptati qualora non fosse disponibile un backup. Purtroppo non avendo la chiave di criptazione, il recupero dei file è molto difficile e in alcuni casi adirittura impossibile. Ci sono comunque due vie da seguire per tentare di recuperare i propri file:

  1. Tramite un software di recovery
    Quando il Ransomware effettua la criptazione di un file, ne crea prima una copia e poi una volta ultimata la criptazione, quest’ultima viene eliminata. Con un software di recovery (recupero file eliminati) si può tentare di recuperare queste copie non criptate eliminate.
    https://www.piriform.com/recuva
  2. Utilizzando la shadowcopy di Windows
    Il sistema operativo Windows, crea una copia “ombra” dei nostri file per consentirne il ripristino in caso di necessità. Con un apposito software chiamato ShadowExplorer è possibile esplorare tali copie e renderle nuovamente accessibili. http://www.shadowexplorer.com/downloads.html
  3. No more Ransom!
    I maggiori produttori di Antivirus, hanno dato vita a questo sito, che vuol’essere una campagna di prevenzione e una guida d’aiuto a chi è stato infettato:
    https://www.nomoreransom.org

 

Come avviene l’infezione?

L’infezione può avvenire attraverso un sito internet compromesso, attraverso un worm oppure più semplicemente inducendo l’utente con l’inganno a scaricare ed installare il malware di propria volontà. Quest’ultima metodologia di infezione è una tecnica di ingegneria sociale usata nel phishing, contro la quale anche i migliori antivirus non possono competere.

L’inganno:
Un tipico esempio di raggiro dell’utente è la ricezione di un’e-mail dove viene segnalata la giacenza di un pacco a proprio nome presso un corriere. L’utente, una volta letta l’e-mail con una riproduzione grafica fedele all’originale e cliccato il link in essa presente per tracciare il proprio pacco, viene portato su di un sito che non è altro che un clone del sito originale del corriere con l’unica differenza che induce l’utente a scaricare ed eseguire un programma sul proprio computer. In questo modo l’installazione avviene in modo del tutto volontario!

Esempio E-Mail Ransomware

Esempio E-Mail Ransomware

 

Come evitare l’infezione

I Ransomware sottoforma di Virus e Worm possono essere rilevati dai vari motori Antivirus, si consiglia quindi di avere sempre un antivirus aggiornato.
Per quanto riguarda invece l’infezione volontaria, è necessario prestare molta cautela prima di cliccare un link all’interno di un’e-mail, gli antivirus, in assenza di un allegato, non possono rilevarne la pericolosità. Ci sono comunque dei piccoli accorgimenti di cui tenere conto per evitare di infettarsi:

  1. L’e-mail solitamente è scritta in un italiano molto discutibile
  2. L’indirizzo del sito al quale riporta il link non corrisponde con quello ufficiale della ditta a cui si fa riferimento, anche se potrebbe contenerne il nome in una sua parte. (Consigliamo di verificare l’indirizzo del sito ufficiale della ditta ricercandola su un motore di ricerca)
  3. Ricordatevi che mai in un’e-mail ufficiale vi verrà richiesto di scaricare ed eseguire un programma.
  4. Create sempre un backup dei vostri file! Off-site: il posto più sicuro è al difuori del vostro computer e della vostra rete! Vi consigliamo l’utilizzo di periferiche removibili quali chiavette USB, hard disk esterni o nastri.