Sicurezza Informatica

L’infezione del nuovo millennio: il Ransomware

L’infezione del nuovo millennio: il Ransomware

Quando si trattano argomenti riguardanti il mondo dei pc spesso si fanno delle distinzioni tra utenti più o meno esperti. In questo articolo ci si rivolge indistintamente a tutte le persone che vogliono capirne di più in materia di sicurezza informatica. L’evoluzione dei pc ha sempre dovuto fare i conti con i virus informatici ed i relativi ideatori. In questo periodo il mondo digitale sta affrontando una minaccia dai risvolti ancora incerti a causa dei ransomware, l’ultima minaccia della famiglia dei malware.

Cos’è un ransomware?

In inglese ransom significa riscatto, definizione che di per sé ci fa capire la pericolosità del virus stesso. Solitamente utilizzano algoritmi crittografici che non sono violabili, come l’algoritmo RSA che essendo di tipo asimmetrico funziona con una chiave pubblica ed una privata. La coppia chiave pubblica/privata viene utilizzata per cifrare tutti i file dell’utente che hanno specifiche estensioni (.DOC, .XLS, .PDF, e così via). In pratica il ransomware mantiene la chiave pubblica sul pc dell’utente mentre la chiave privata viene nascosta in un server remoto inaccessibile all’utente stesso.

Un ransomware può essere di tipo cryptor o di tipo blocker.

Dopo aver infettato un computer, i cryptor criptano alcuni dati importanti non permettendo all’utente di potervi accedere senza aver pagato un “riscatto”, solitamente in bitcoin o in altra valuta virtuale e non tracciabile, in cambio della chiave di crittografia.

L’infezione da blocker blocca completamente il sistema rendendolo di fatto completamente inutilizzabile.

 L’algoritmo RSA e l’evoluzione dei ransomware

RSA è basato sull’elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è molto lento e richiede molte risorse hardware). L’unica speranza per recuperare i dati cifrati è che i criminali abbiano commesso qualche errore nell’implementazione dell’algoritmo di cifratura, come nel caso del ransomware TeslaCrypt in cui le chiavi crittografiche generate venivano prodotte da numeri non primi e quindi facilmente superabili o nel caso di CryptoLocker in cui bastava disporre di un solo file non criptato per ricostruire la chiave di decodifica per tutti i file. Tuttavia il mondo della criminalità digitale si è evoluto dando alla luce WannaCry. Questo ransomware ha le caratteristiche di un worm cioè è in grado di autoriprodursi sfruttando delle vulnerabilità nelle applicazioni e nei sistemi operativi. Una volta infettato il dispositivo WannaCry ricerca altri dispositivi collegati in rete per attaccarli a loro volta. 

Come ci si infetta?

Esistono svariati ransomware che colpiscono tutti i sistemi operativi come Windows, Mac OS, Linux e Android. Ciò implica che possono essere colpiti sia dispositivi fissi che mobili. Per essere infettati è sufficiente aprire un allegato “pericoloso” o cliccare su un link “sospetto”, solitamente riguardanti delle pubblicità.

La caratteristica principale dei ransomware è che rimuovere il malware stesso non risolve il problema. Infatti, se il ransomware ha criptato i file l’unico modo per ripristinarli è ottenere la chiave di decodifica.

 Pagare o non pagare?

È altamente sconsigliato pagare il riscatto e per diverse ragioni. In primo luogo potreste non avere il denaro (i bitcoin non sono semplici da reperire). In secondo luogo si incentivano i malfattori a continuare con gli attacchi. In terzo luogo non si può mai essere certi che pagando si risolverebbe il problema.

Se un ransomware è riuscito ad infettare i vostri files, non potrete decodificarli da soli. Se si scarta l’opzione del pagamento, è possibile provare a trovare una soluzione nei seguenti modi:

  1. utilizzando il servizio ID Ransomware è possibile capire l’identità del ransomware e, nel caso in cui il virus sia già noto al servizio, verranno forniti gli strumenti necessari per il recupero;
  2. il forum di Bleeping Computer raccoglie news riguardanti eventuali nuove strategie per sconfiggere un ransomware;
  3. cercare un decryptor in grado di decodificare i file. Alcuni decryptor sono stati messi a disposizione gratuitamente da aziende che si occupano di sicurezza informatica (come Kaspersky ed Emsisoft);
  4. l’azienda russa Web offre soluzioni molto efficaci per la decodifica dei file cifrati.

Come proteggersi dal ransomware

Di seguito verranno elencati alcuni consigli per ridurre al minimo l’esposizione al rischio ransomware:

  1. Evitare di aprire le email sospette caratterizzate da strani domini o da un oggetto poco chiaro.
  2. Evitate di scaricare programmi da siti sommersi di pubblicità e banner.
  3. Imparate a capire quali sono i messaggi di phishing e non cliccate su questi link.
  4. Effettuate regolarmente un backup. Forse è il punto più importante in quanto se i file sono sia sul pc che su un drive esterno potete utilizzare un antivirus per eliminare il malware e ripristinare i file tramite il backup precedente.
  5. Tenete sempre aggiornati il sistema operativo ed i sistemi di sicurezza (antivirus, antimalware, firewall, ecc.).

 

Davide Sorrentino

 

RIFERIMENTI

logo icted

ICTEDMAGAZINE

Information Communicatio
Technologies Education Magazine

Registrazione al n.157 del Registro Stam­pa presso il Tribunale di Catanzaro del 27/09/2004

Rivista trimestrale  

Direttore responsabile/Editore-responsabile intellettuale

Luigi A. Macrì