Ransomware

Cryptolocker, uno dei primi ransomware con richiesta di riscatto in bitcoin.I ransomware sono virus informatici – tecnicamente “trojan” – che bloccano i documenti contenuti sui sistemi infettati e chiedono un riscatto, in genere in bitcoin. Dopo essere stato contagiato dal cryptovirus, il computer continua a funzionare ma foto, filmati, musica e scritti della vittima vengono protetti tramite algoritmi di cifratura. Al pagamento del riscatto, i criminali in genere sbloccano la protezione dai documenti e rimuovono il criptovirus.

A essere colpiti dai ransomware non sono soltanto i PC con Sistema Operativo Windows, Mac OS e Linux ma anche smartphone e persino dispositivi elettronici come Smart TV, che fanno parte della categoria IoT (Internet Of Things).

L’infezione dei ransomware si diffonde in genere tramite email di phishing, con diversi soggetti e tipologie in base alle diverse ondate di ransomware. Le prime versioni dei trojan come Cryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma di fatture o note di credito e venivano inviate direttamente in allegato al messaggio, chiedendo un riscatto in bitcoin. Successivamente, le mail di phishing hanno cominciato a contenere codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc.) o relative a bollette di gestori di energia (Enel Energia, etc.) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, etc.).

I messaggi di posta sono spesso convincenti e contengono un allegato che passa incolume attraverso diversi antivirus oppure un link a un sito di phishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, ma un malware, che se aperto infetta il PC e blocca i documenti, inclusi quelli in rete.

Oltre che tramite email di phishing, la diffusione del malware può avvenre tramite siti web compromessi da infezioni come Angler Exploit Kit, che attecchiscono su sistemi di utenti inconsapevoli che navigano su siti web utilizzando browser con componenti non aggiornati.

In modo minore, alcuni cryptovirus si diffondono tramite vulnerabilità su protocolli come RDP oppure sostituendosi – dopo aver bucato il sito web – a link di download legittimi caricati online da società di sviluppo che distribuiscono il loro prodotto via web.

Le versioni dei ransomware successive a Cryptolocker si sono fatte più pericolose rispetto alle prime e, con Crypt0l0cker, CTB-Locker, TeslaCrypt (di cui in realtà oggi esiste decryptor), Locky, Cerber, Zepto, hanno cominciato a criptare i dati senza possibilità di recupero. La vittima che non ha provveduto a mettersi al riparo tramte backup spesso finisce per pagare il riscatto in bitcoin.

Il lettore si chiederà certamente come decifrare i documenti criptati dai ransomware: a parte alcuni casi specifici per i quali esistono soluzioni tecniche o sono stati pubblicati dei software di decifratura – noti come “decryptor” – non è ancora stato trovato un antidoto generico per recuperare i documenti cifrati, se non ripristinarli da copie di sicurezza eseguite prima di contrarre il virus.

Numerose softwarehouse si sono poste il problema di come difendersi dai ransomware, siluppando soluzioni integrate con antivirus, endpoint security o sandalone che limitano i danni tentando di identificare il cryptovirus prima che venga scaricato, prima che si attivi o se non c’è alternativa quando ha iniziato a criptare i documenti. Le soluzioni per proteggersi dai ransomware sono ancora in via di definizione, non possiamo quindi consigliare un singolo prodotto che difenda da tutti i cryptovirus ma tenteremo di dare spazio a tutti coloro che hanno proposto sistemi di antiransomware.

Questo articolo è disponibile anche in: Inglese

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *