Siete incappati in un ransomware, ma non sapete come comportarvi? Oggi, vi spieghiamo prima di tutto cos’è un ramsonware, come si prende e come difendersi dai problemi e dalle conseguenze negative che questo comporta.
Ramsonware cos’è
Si tratta di un tipo di malware capace di limitare l’accesso al dispositivo che infetta, ma la sua particolarità risiede proprio nel suo nome inglese.
“Ramson”, infatti, significa riscatto ed è proprio questo che succede: il malware impossessatosi del dispositivo richiede un riscatto da pagare per rimuovere la limitazione.
Alcuni tipologie di questo malware riescono a bloccare il sistema per poi richiedere all’utente un pagamento per sbloccarlo e renderlo di nuovo utilizzabile, mentre altri cifrano i file dell’utente e anche in questo caso chiedono di pagare per riavere i nuovo i file cifrati leggibili in chiaro.
In origine, gli attacchi ramsonware sono stati diffusi in Russia, per poi diffondersi in tutto il mondo.
Basti pensare che nel giugno del 2013, una nota casa specializzata in software di sicurezza, la McAfee, ha divulgato dei dati che riportavano l’andamento del fenomeno nei primi tre mesi del 2013: erano stati registrati ben 250 mila tipologie diverse di ramsonware, praticamente oltre il doppio di quelli registrati nei primi tre mesi del 2012!
Noi ne avevamo già parlato in nostri precedenti articoli: qui e in un case study molto interessante.
Ciò dimostra come il fenomeno sia letteralmente esploso nel giro di pochissimo tempo.
Alla fine dello stesso anno, apparve e fece scalpore CryptoLocker, un worm ramsonware che è stato in grado di ottenere circa 3 milioni di dollari prima di essere reso innocuo!
Come funzionano
I ransomware si diffondono come i trojan, ossia dei malware worm, e penetrano nel sistema servendosi di un file scaricato o anche di una falla nel servizio di rete. Una volta infiltratosi, il software esegue un payload, il quale, ad esempio, può bloccare il funzionamento del dispositivo o criptare i file personali sull’hard disk.
Le tipologie più elaborate e sofisticate si servono di sistemi di criptazione ibridi sui documenti dell’utente vittima. In quanto tali, questi sistemi di criptazione non richiedono la condivisione di chiavi tra due utenti, ma adottano una chiave privata casuale e una chiave pubblica fissa.
In questo modo, l’unico a conoscere la chiave di decriptazione privata è proprio l’autore del malware.
Altre tipologie eseguono un payload senza abbinarci la criptazione, ma limitandosi ad interagire con il sistema e ad agire sulla shell di Windows per renderla non operativa e porla sotto il controllo del malware o per modificare il master boot record e/o la tabella di partizione, che impedisce di avviare il sistema operativo fino a sua riparazione.
I payload si servono anche di scareware per sottrarre denaro all’utente del sistema, mostrando, ad esempio, false notifiche inviate dalla polizia federale o da altre compagnie, in cui si afferma che il sistema è stato utilizzato per attività illegali o che contenga materiale illegale, piratato o pornografico.
Ancora, altri payload imitano le notifiche di attivazione prodotto di Windows XP, in cui si indica che il PC potrebbe avere una versione di Windows contraffatta e che, quindi, deve essere riattivata.
Tali tattiche portano l’utente a pagare l’autore del malware così che rimuova il ramsonware, con un programma che decripti i file criptati o con un codice di sblocco per eliminare le modifiche apportate dal malware.
Di solito, i pagamenti sono effettuati con bonifico, sottoscrizione via SMS, con pagamento online attraverso un voucher o con pagamento in bitcoin, ossia in valuta digitale.
In sostanza, dunque, le modifiche apportate al dispositivo della vittima possono consistere in:
- una crittografia dei dati memorizzati, così da impedirvi l’accesso;
- un blocco generale dell’accesso al sistema.
Come si viene infettati
I metodi di installazione utilizzati da un trojan ransomware sono:
- e-mail di phishing;
- accesso ad un sito web con un programma nocivo;
- download di software che nascondono un malware.
ThiefQuest: ramsonware per MacOS
Di recente, è stato scoperto da Malware Bytes il ramsonware per macOS ThiefQuest, già noto con il nome di EvilQuest.
Si tratta di un malware distribuito tramite versioni pirata di famosi software per Mac, condivisi su siti torrent popolari, e che colpisce gli utenti macOS per rubare informazioni sensibili, portafogli di criptovalute e password.
Ad oggi, è stata individuata la routine di crittografia simmetrica utilizzata dal malware per bloccare l’accesso ai file e basata sull’algoritmo RC2.
Il processo di cifratura dei file è stato, quindi, invertito e sono stati sbloccati i file attaccati; inoltre, si è giunti anche allo sviluppo di un tool di decriptazione che è possibile scaricare in modo gratuito sotto la licenza di software libero GNU GPL v2.
Pur potendo sbloccare i file criptati da ThiefQuest, vi è però il rischio di furto dei dati sensibili da parte del malware.
Per evitare ciò, l’Apple ha aggiornato il sistema di antimalware integrato in macOS, Xprotect, il quale analizza i download effettuati dall’utente così da segnalare subito l’eventuale presenza di codici malevoli.
L’applicazione non pulisce il sistema, ma si limita a segnalare il pericolo all’utente, così che questo mossa cancellare in modo tempestivo il file infetto.
Vuoi mettere al sicuro i tuoi dati da qualunque imprevisto? Contattaci
