Il ransomware è un tipico malware informatico di rete.
Cos’è? Sono virus che sono difficili da rimuovere . Spesso prendono il nome di cryptlocker , decrypt. Esistono dei tool specifici per rimuoverli. Le case che maggiormente si sono specializzate nella loro rimozione sono kaspersky e malwarebytes. Il motivo del nome che ricorda la cifratura è dovuto al fatto che spesso cifrano i dati dell’utente per fare in modo che non siano piu’ da esso utilizzabili.
La loro diffusione iniziale è stata in Russia , ma attualmente sono diffusi in tutto il resto del mondo.
Secondo la casa McAfee solo nel 2013 ci sono stati circa 250 mila tipi di ransomware differenti.
Funzionamentoo Ransomware.
La modalità di funzionamento del ransomware è quello di penetrare all’interno del vostro computer tramite il download di un file, spesso e volentieri inserito o nella vostra email oppure in qualche download dalla rete che ritenete sicuro. Spesso sarete invogliati a scaricare qualche file che “faccia del bene ” al vostro PC, come ottimizzatori etc. etc, ma in realtà state scaricando il malware. Oppure una vulnerabilità del vostro sistema operativo. A questo punto il malware si occuperà di criptare i vostri file personali all’interno del vostro pc nel vostro hd secondo una chiave pubblica presente all’interno del virus stesso. Per effettuare la decriptazione avrete bisogno di una chiave privata che vi verrà consegnata solo dietro pagamento. Nei ransomware più aggressivi viene addirittura bloccata la tabella di partizione del disco fisso, quindi fin quando non avrete la chiave privata non potrete nemmeno riavviare il PC. Oltre ovviamente non accedere ai vostri dati.
Le tecniche per indurre il malcapitato a pagare sono varie e molto fantasiose. Si va da schermate che riportano l’icona e i collegamenti con la polizia, ad accusarvi che avete il Sistema Operativo contraffatto e altro ancora.
Il pagamento che vi viene generalmente richiesto è di tipo bitcoin ossia la moneta on line. Ma spesso e volentieri sono anche tramite paypal o altri servizi di carta di credito on line. Anche se questi sono meno diffusi perchè più tracciabili.
I primi ransomware che sono stati sviluppati risalgono agli anni 90. Ma erano poco più che dei trojans . Per sbarazzarsene bastava riavviare il computer e fare un paio di scansioni con un buon antivirus. L’utilizzo di chiave pubblica e privata per criptare i vostri dati personali e non risale ai primi anni dopo il 2000.
La piaga attuale di questo tipo di malware è comunque attribuibile a partire dal 2010 in poi. Ovviamente alla base del successo è appunto il riscatto. Dato che la parola inglese ransom tradotta significa proprio riscatto.
Tipologia Ransomware.
Reveton
Sicuramente vi sarete imbattuti nel famigerato Reveton detto anche trojans della polizia. Ransomware particolarmente diffuso in Europa. Ne esistevano di diverse tipologie. In pratica vi appariva una schermata che bloccava il vostro computer con un avviso della polizia e chiedeva una somma per sbloccare il vostro PC. Con affermazioni ovviamente volte ad intimidire e a fare pagare il malcapitato ignaro di quello che stava accadendo. Le accuse che vi potevano venire rivolte erano di vario genere, si andava dal possesso di materiale pornografico, software piratato etc. etc. Il più delle volte bastava riavviare il PC e finiva li.
CryptoLocker
Worm particolarmente diffuso in America dal 2013. Le autorità stimano che i loro inventori abbiano preso circa 3 milioni di dollari prima della sua rimozione. Questo Ransomware a differenza degli altri si occupava principalmente di criptare con chiave pubblica tutta una serie di file la cui estensione era contenuta all’interno di una particolare whitelist al suo interno. Ovviamente come sempre il riscatto era per pagare la chiave privata.
WannaCry
E veniamo ai giorni d’oggi. Ossia il più potente malware mai realizzato. E sicuramente quello che più ha infettato i pc a livello mondiale. Una vera e propria pandemia. A differenza degli altri. Per la prima volta sono stati presi di mira i computer di servizi pubblici come ospedali e scuole e case produttrice di auto come Renault e Nissan. Ad oggi si stima che WannaCry abbia infettato circa 150 paesi nel mondo a tre giorni dal suo lancio. Che rende benissimo il concetto della sua portata. Secondo le ultime ricostruzioni il ransomware sarebbe stato diffuso da un gruppo di hacker chiamati ShadowBroker che avrebbero ripreso parte di un software della NSA. Il sistema sfrutterebbe delle vulnerabilità di Microsoft. Per la precisione Microsoft aveva già installato delle patch per rimediare a questo problema il mese scorso. Purtroppo non tutti hanno aggiornato il loro computer in tempo utile e sono rimasti in questa maniera esposti a tale vulnerabilità. Inoltre tutti i possessori di Windows XP sono stati “forati” in quanto tale sistema operativo non è piu’ sviluppato da Microsoft. In parte il problema è stato tamponato da Darien Huss @MalwareTechlog che ha acquistato il dominio dove il malware faceva i redirect impedendone quindi ulteriori rimbalzi sullo stesso dominio.
Ma pare che questo sia stato solo un rimedio temporaneo. Infatti da ieri pare che sia stata lanciata una nuova campagna.
Prevenire WannaCrypt.
Quali sono i rimedi da utilizzare allora contro questa piaga?
In primis ovviamente avere il proprio sistema operativo aggiornato. Andate in Impostazioni —> Windows Update Se ci sono degli aggiornamenti da fare e nel caso aggiornate
Se avete una versione di Windows XP aggiornate immediatamente alla patch rilasciata da Microsoft specifica per prevenire il ransomware WannaCry su https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Fate un backup del vostro PC. Male che vi vada dovrete perdere un paio d’ore per rimettere il sistema operativo.
Sono attacchi che sono stati lanciati in questi giorni WannaCry è 2.0 ossia nuova versione. Occoreranno quindi alcune settimane prima che le case produttrici di software di sicurezza riescano a mettere una pezza a questo problema.
Rimuovere WannaCry
In molti ci state chiedendo in questi giorni come rimuovere questo malware. Ossia come debellare l’infezione dal vostro computer. Per tutti i motivi che vi abbiamo consigliato è quanto mai evidente che ad oggi questo non è possibile. Per questo motivo vi ho caldamente consigliato di fare un un backup. Vi sconsiglio di effettuare il pagamento payload se infettati. In primis perchè non è detto che una volta che avete pagato vi venga consegnata la chiave privata (ottenibile tramite payload) Eppoi non avrete eliminato il problema. Per la precisione vi consiglio nello specifico se infettati di staccare la connessione internet in quanto si è verificato in alcuni casi con altri ransomware che i vostri dati vengano diffusi in rete. Quindi in primo luogo aggiornate il vostro Windows . Fate il backup. Se non lo avete fatto scollegate internet e aspettate tempo un paio di settimane che le ditte di cyber sicurezza abbiano trovato il rimedio alla piaga.
Ad oggi pare che WannaCry abbia interessato quasi esclusivamente il sistema operativo Windows. Per gli ovvi motivi sopra esposti.