Ransomware, il virus che “rapisce” i file e chiede il riscatto
E’ la piaga dei giorni nostri, qualcosa che nessuno si augura di incontrare nel percorso tecnologico della sua vita ma che, fin troppo spesso, può sbarcare facilmente sui nostri dispositivi. Stiamo parlando dei ransomware, quei particolari “virus” che non arrecano danni al sistema operativo, non installano pubblicità e non intasano i browser, ma che ci colpiscono al cuore mirando a quanto di più importante possa esserci sui nostri dispositivi: i file personali.
Abbiamo parlato più volte delle soluzioni per decifrare questo o quel ransomware ma, fino a questa guida, non ne abbiamo mai spiegato con precisione il funzionamento. Nelle righe che seguono non soltanto affronteremo più da vicino l’argomento, ma cercheremo di trattare tutto ciò che serve per essere pienamente consapevoli di cosa sia un ransomware e di capire quando purtroppo ne abbiamo a che fare.
Magari con qualche informazione in più possiamo anche imparare a starne lontani!
Indice
- Cosa è un ransomware
- Come funziona un ransomware
- Perché alcuni ransomware vengono sconfitti ed altri no?
- Come prevenire un ransomware
- Come difendersi da un ransomware
- Cosa fare se abbiamo contratto un ransomware
- Conclusioni
Ransomware, il virus che “rapisce” i file
Cosa è un ransomware
Un ransomware è un particolare tipo di malware che, come la parola stessa fa pensare, richiede il “pagamento di un riscatto” per liberarsene. La parola ransom, in inglese, sta proprio per “riscatto”. I primi “ransomware” fingevano di prendere in ostaggio l’intero computer (chi non conosce il “virus della Polizia di Stato”? Anche quello è un ransomware!) ma, per via della semplicità, questo tipo di ransomware ha smesso di fare danni in tempi relativamente brevi.
Oggi però i criminali si sono evoluti ed hanno mirato al cuore dei dispositivi. Di norma un ransomware è un file eseguibile che, in un tempo relativamente breve, riesce a cifrare i nostri file – ovvero bloccarli – con una chiave conosciuta soltanto dai criminali.
Per ottenere questa chiave, ottenendo quindi di nuovo i nostri file, ci verrà chiesto di pagare in qualche modo un riscatto; generalmente si tratta di un pagamento in Bitcoin o, come successo di recente, della richiesta di diffondere il ransomware stesso.
La stragrande maggioranza dei ransomware sono scritti per ambiente Windows; purtroppo, anche se in misura minore, non sono immuni sistemi operativi come Linux e Android.
Come funziona un ransomware
Come abbiamo già detto un ransomware altro non fa che bloccare i file dell’utente e, infine, mostrare le istruzioni per pagare il riscatto alla malcapitata vittima. Questi malware purtroppo hanno alla base un meccanismo quanto semplice tanto geniale che, nella maggior parte dei casi, finisce per far danni. Cerchiamo di riassumere insieme i punti chiave sul funzionamento di un ransomware:
- l’utente vittima scarica ed esegue inconsapevolmente un ransomware “mascherato” da qualcosa; prendiamo ad esempio che si finga un programma utile;
- una volta eseguito il ransomware finge di installare il programma fasullo; in realtà esso si è già collegato ad Internet, ha ricevuto dal server del criminale la chiave con cui criptare i file e procede a farlo;
- una volta completato lo sporco lavoro, il ransomware termina la sua esecuzione cambiando (a volte) lo sfondo del desktop dell’utente e lasciando un file HTML con le istruzioni su come pagare il riscatto e ottenere indietro l’accesso ai file.
Purtroppo arrivati a questo punto il grave è già successo: abbiamo perso l’accesso ai nostri file, cifrati con una chiave che probabilmente soltanto il criminale conosce. Per quanto riguarda il pagamento del riscatto, generalmente vengono richiesti dei Bitcoin da versare su un conto anonimo. Il ransomware Popcorn Time, invece, prevede anche un’opzione che permette di infettare altri due amici (che dovranno pagare) per ottenere di nuovo l’accesso ai file senza pagare nulla.
Scopriremo tra non molto che alcuni ransomware sono stati sconfitti; onde evitare che l’utente possa decidere di aspettare speranzoso che i ricercatori di sicurezza facciano il suo dovere, alcuni criminali danno anche una scadenza al pagamento del riscatto. Ad esempio se non si paga entro una settimana la chiave può essere eliminata dal server (rendendo i file non più recuperabili neppure su richiesta) oppure i file stessi possono essere eliminati dal computer.
Per evitare che i file vengano fisicamente eliminati, tuttavia, si può semplicemente eliminare il ransomware con una buona soluzione antimalware.
Perché alcuni ransomware sono stati sconfitti e altri no?
Alcuni ransomware ad oggi sono stati definitivamente sconfitti: i ricercatori sono riusciti a progettare dei programmi in grado di recuperare i file bloccati senza pagare alcun riscatto. Questo, però, capita soltanto per alcuni ransomware – non per tutti.
Per capire il motivo di questa distinzione dobbiamo comprendere come fanno i ricercatori di sicurezza a trovare le soluzioni; volendo parlare in termini molto semplici, ciò può capitare in due modi differenti:
- se l’algoritmo scelto per bloccare i file è insicuro e quindi è già stato violato in passato, i ricercatori possono eseguire delle operazioni sui file per comprendere di quale algoritmo si tratti e trovare le chiavi di decifratura; in questo caso basta decifrare un file per creare uno strumento che possa decifrarli tutti, per cui i dati bloccati con quel ransomware possono essere sbloccati senza pagare niente;
- la rete dei server dei criminali può essere stanata e smantellata: come vi abbiamo spiegato poc’anzi, la chiave per cifrare i file delle vittime viene ricevuta tramite Internet dai server dei criminali; le chiavi di un dato ransomware vengono generate a partire da una chiave principale, che in gergo chiamiamo “master key”; se la rete dei server viene smantellata e la master key finisce nelle mani dei ricercatori, diventa possibile a quel punto usarla per generare le chiavi per decifrare i file bloccati grazie ad appositi programmi.
Se non tutti i ransomware sono stati sconfitti è principalmente perché gli algoritmi sono sicuri, perché le master key non sono ancora finite nelle mani dei ricercatori o perché, purtroppo, sono il risultato di un aggiornamento dei precedenti ransomware.
Come posso prevenire un’infezione da ransomware?
Sembra banale ma il consiglio è sempre lo stesso: non scaricare file eseguibili per la propria piattaforma (exe o javascript per Windows, apk per Android, .run o binari per Linux) né allegati ricevuti per email dalla dubbia provenienza. Sono proprio questi, infatti, i principali vettori dei ransomware più pericolosi.
Ci rendiamo però conto che, a volte, stare lì con la lente di ingrandimento a controllare tutto può risultare difficile e che la distrazione è sempre dietro l’angolo; il suggerimento che possiamo darvi in tal senso è quello di imparare ad usare una macchina virtuale, ad esempio Virtualbox, o un emulatore per Android.
Perché? Semplice: prima di avviare un file sui nostri dispositivi di produzione (ovvero quelli che usiamo nella vita di tutti i giorni), possiamo provarli su una macchina virtuale o su un emulatore per vedere cosa succede; in tal modo, seppure dovessero essere ransomware, creeranno danni soltanto alla macchina virtuale (che potrà essere ripristinata in qualsiasi momento ad uno stato precedente e che non danneggia i file presenti invece sui nostri dispositivi).
Come posso difendermi da un ransomware?
Se la vittima designata del ransomware sono i dati, la miglior difesa contro il suo effetto a volte devastante è quella di conservarne una copia in un altro luogo; questa operazione, riassunta in una parola, si chiama backup.
Avere sempre backup aggiornati dei propri dati è fondamentale se la nostra attività (se riceviamo ed apriamo spesso email con allegati, se dobbiamo eseguire file dalla dubbia provenienza e quant’altro) ci espone al rischio di contrarre malware. La cosa fondamentale è che il dispositivo che contiene il backup dei nostri dati – almeno di quelli più importanti la cui perdita potrebbe danneggiarci – non sia collegato in nessun modo (né in rete, né tramite cavo, né altro) – al computer o ai computer a rischio ransomware.
Esistono comunque altri accorgimenti da avere per tenersi lontani dai ransomware, accorgimenti che abbiamo già esposto nella nostra guida dedicata.
Ho contratto un ransomware: cosa faccio e come recupero i dati?
I consigli sono arrivati troppo tardi ed il ransomware è già finito e attivo sul nostro PC o dispositivo Android? Purtroppo il danno potrebbe già essere irreparabile ma possiamo attuare delle operazioni per contenerlo.
La cosa da fare immediatamente è quella di scollegare il dispositivo dalla rete locale (WiFi o con cavo), onde evitare che l’infezione si trasmetta ad altri dispositivi. Isoliamolo immediatamente. Se non siamo tecnologicamente pratici, contattiamo anche un esperto che saprà come guidarci nei passi successivi.
La cosa da NON FARE neanche per scherzo è pagare il riscatto, poiché nessuno può garantire che la chiave di sblocco arrivi davvero e perché cedere ad un ricatto ci rende ugualmente responsabili della diffusione di minacce del genere.
Una volta messo tutto in sicurezza, guardiamo lo sfondo del desktop o il file che il criminale ci ha lasciato per le informazioni del pagamento e cerchiamo di identificare il ransomware grazie a Google. Se non ci riusciamo da soli e se necessario con l’aiuto di un esperto, copiamo dalla macchina infetta uno dei file criptati ed usiamo il servizio ID Ransomware per identificare il ransomware che ci ha colpiti.
Una volta identificata l’infezione possiamo consultare la nostra precedente guida che contiene i ransomware già sconfitti e gli strumenti per recuperare i nostri file, sperando che il ransomware che ci ha colpiti figuri nella lista.
In conclusione…
Sfortunatamente negli ultimi anni i ransomware hanno fatto tanti danni, alcuni anche ingenti, soprattutto perché alcuni di essi sono riusciti ad infettare computer di produzione su posti di lavoro, aziende e pubbliche amministrazioni. In molti, pur di ottenere l’accesso ai propri file, hanno purtroppo acconsentito a pagare i riscatti richiesti.
Questa è senza ombra di dubbio la soluzione più semplice ma alla quale, per carità, non bisogna mai piegarsi; pagare un riscatto ci rende complici della diffusione di questa minaccia che fa leva sulla distrazione di chi usa il computer; sicuramente i ransomware non spariranno da un giorno all’altro perché, sfortunatamente, si sono rivelati efficaci e vincenti per i criminali.
Nel profondo, però, ci auguriamo che la consapevolezza, il buon senso ed un po’ di “naso” possano aiutare anche gli utenti non tecnologicamente esperti a stare più attenti e a non cadere vittime di questa fastidiosa piaga. Perché, si sa, il modo migliore per battere una minaccia è… renderla innocua!
L’articolo Ransomware, il virus che “rapisce” i file e chiede il riscatto appare per la prima volta su ChimeraRevo – Il miglior volto della tecnologia.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.