Ransomware. Quando nulla è perduto!
“Cosa è successo al mio computer?”
“Come posso recuperare i miei file?”
“Come posso pagare?”
Di fronte a queste domande mostrate sul proprio schermo del computer un utente si chiede: “Devo pagare per avere indietro i miei documenti e foto?”
Ebbene si, il Ransomware ha proprio questo significato (Ransom, in inglese “riscatto”). Esso ha come unico scopo l’estorsione di denaro attraverso un sequestro di file e tramite cifratura che rende il pc inutilizzabile.
Questa è la schermata che appare all’utente. Al posto del classico sfondo vediamo comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta: denaro in cambio dei propri dati.
Forse incominciamo a renderci conto che ci troviamo di fronte ad una truffa informatica.
Per utenti più esperti o per tecnici informatici si tratta del generico cryptolocker, che ha tutte le sue varianti.
Il Cryptolocker è un virus, o meglio malware che crifra i file presenti in un computer rendendoli illeggibili. Tipicamente si utilizza la crittografia AES (Advanced Encryption Standard) 256 bit. Una volta colpito il proprio computer risulta solo lento. Il tutto inizia dai file meno recenti fino ad arrivare a quelli recenti. Troppo facile agire nel limitare i danni se l’utente se ne accorge subito. Questo vale per utenti esperti o se si riesce ad avvisare per tempo un tecnico sistemista. Tipicamente i file che vengono criptati sono i DOC, DOCX, XLS, XLSX, PDF, JPG, MDB e PST, che rappresentano la nostra vita privata o lavorativa in caso di azienda. Lo scopo dei cyber-criminali è quello di chiedere alla vittima un riscatto per ottenere una chiave di decifratura in grado di recuperare i file bloccati. Viene utilizzata una chiave univoca e diversa per ogni computer infettato, nonché segreta. Gli unici a conoscerla sono i coloro che hanno infettato il computer. Tali file non possono essere più aperti, letti o modificati. I file bloccati si presentano con un’estensione diversa o nel peggiore dei casi con anche il nome del file modificato.
Un bel timer nella stessa schermata ci fa capire come noi dobbiamo decidere in breve tempo se pagare o perdere i nostri dati. Spesso un utente riavvia, ma ad ogni riavvio, nella maggior parte delle infezioni, il malware si riattiva e continua la sua opera distruttiva. La cifra da pagare non è esagerata (i cybercriminali non hanno l’obiettivo di vincere al superenalotto, ma di vincere spesso al lotto, quindi tante piccole cifre). Il riscatto può essere di un’unica cifra (dai 300 Euro ai 1000 Euro) oppure in base ai dati presenti al suo interno. Il pagamento avviene tramite la criptovaluta (anche questa?!) Bitcoin (1 Bitcoin = 7800 Euro (27 Maggio 2019). Questo significa trasferire i BTC dal proprio portafoglio Bitcoin a quello dei cybercriminali. Il portafoglio su cui eseguire il pagamento è identificato da un “wallet ID”, costituito da una lunga serie di numeri e lettere come questo: 34eKl77reX31raJzhhq1P1qwert01pP2db. Questo codice traccia il pagamento in forma solo numerica, quindi rende quasi impossibile risalire al nome dell’intestatario del portafoglio.
Ma come si è arrivato a tutto questo?!
Si può manifestare tramite accesso al computer in Desktop Remoto dove il cybercriminale disattiva tutti i sistemi di sicurezza ed inietta il malware. Il cybercriminale ha il totale controllo della macchina potendo quindi rendere indisponibili anche eventuali backup fatti precedentemente o altre macchine connesse in rete. I file crittografati non sono infettanti, cioè hard disk o chiavette USB colpiti dal virus non propagano l'infezione se attaccati ad altri computer. Ma in caso di ambienti di rete con cartelle condivise da un server, un NAS o altri computer, è fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione del danno. Se così non fosse… Bingo! Il riscatto è doppio!
Uno dei metodi di infezione più utilizzato e più efficace è attraverso l’email (di phishing). A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente email di phishing. Esso si diffonde attraverso link o allegati (spesso questi allegati sono eseguibili camuffati da pdf o doc). In tal caso, aprendo il link (o l'allegato), il malware viene attivato e provvede a crittografare tutti i dati del computer utilizzato. Purtroppo le statistiche dicono che tra il 10% e 30% questi link vengono cliccati ed allegati “aperti”. I cybercriminali non si riservano di sfruttare delle vulnerabilità presenti nei vari programmi (come Java, Adobe Flash e Adobe Acrobat) o nei diversi sistemi operativi. In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.
In altri casi ancora il malware si inocula nel sistema attraverso pagine web infette (che non necessariamente sono siti pornografici, ma semplici siti non categorizzati o banner. Esso avviene tramite il “drive-by download” (letteralmente: scaricamento all’insaputa). Ovvero scaricare contenuto malevolo da siti creati da cybercriminali che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altro. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccarci sopra.
In questa categoria entrano anche siti gratuiti che ci permettono di crackare software commerciali senza pagare (ovviamente). Ciò è molto pericoloso poiché il crack che scaricheremo sarà un eseguibile dentro il quale possiamo aspettarci di tutto.
Prevenire e meglio che curare!
Senza dubbio un buon antivirus è molto efficacie per proteggersi dalle numerose e crescenti infezioni informatiche, ma pensare di essere immuni semplicemente avendolo installato è sbagliato e assolutamente pericoloso. Devo garantire che le definizioni degli stessi AV siano aggiornate e possibilmente non utilizzare antivirus gratuiti. Questo potrebbe non essere sufficiente.
Non sempre gli AV riescono a tenere il passo dei cybercriminali, i quali hanno in mano armi sempre più sofisticate, abili a creare nuovi codici dannosi che rendono le virus signature oramai obsolete e dunque non in grado di difendere i computer dagli attacchi. Occorre quindi adottare un buon antispam (in ambito aziendale) per evitare di ricevere email con contenuto malevolo.
Bisogna ricordarsi di aggiornare sempre il proprio computer per evitare di essere vulnerabili e quindi colpiti. Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office ed attivarsi automaticamente a seguito di un nostro clic.
Un sistema che controlli la navigazione web e blocchi siti malevoli ci evita di essere ingannati da eventuali banner accattivanti. In fondo siamo “utonti”.
Fare il backup dei dati su dischi che si scollegano dal computer di volta in volta o in cloud (intendo soluzioni di backup in cloud, non strumenti come dropbox, one drive ecc).
Cosa fare in caso di infezione?
Spegnere immediatamente il computer, anche brutalmente. Non riaccendere o riavviare il computer: è inutile. Questa regola (una delle prime dell’informatica) con il cryptolocker non funziona.
Rimuovere eventuali dispositivi USB connessi al sistema (chiavette USB, hard disk, ecc.).
Se il computer è connesso in rete ad altri computer o server, staccare immediatamente il cavo di rete e spegnete tutti gli altri computer/server della rete.
Contattate immediatamente il vostro tecnico sistemista di fiducia facendogli presente del comportamento riscontrato.
NON pagare il riscatto!
Può, il vostro tecnico, formattare il computer infetto, reinstallare il Sistema Operativo e recuperare dati dal backup o dal disco infetto prima che il malware finisca il suo lavoro.
Nel migliore dei casi, utilizzare sistemi di decifratura. Possono volerci giorni o addirittura mesi… e non è detto che il risultato arrivi.
Quindi non disperare. Nulla è perduto se si prendono le giuste precauzioni o si agisce tempestivamente!
Andrea Russi
Non è finita! E’ vero, ti ho detto di NON pagare assolutamente il riscatto. Ma non sei in linea con quanto detto sopra? Non hai un backup? I dati criptati sono tutta la tua vita? Non voglio spaventarti, ma come ultima spiaggia puoi sempre pagare il riscatto. Entro qualche ora dovrai ricevere un file con la chiave privata di decifratura, oppure un file eseguibile che procederà a decriptare i file. Affinché la decodifica dei file sia completa, occorre che si mantengano collegati tutti i dispositivi e dischi che erano connessi al momento dell’infezione.
Incrocia quindi le dita!!! Poiché non si ha nessuna garanzia di riavere i propri dati: ricordiamoci sempre che dall’altra parte ci sono dei criminali.
È ovviamente la soluzione peggiore, quella alla quale non si dovrebbe mai arrivare: se paghiamo alimentiamo la criminalità e la rendiamo ancora più ricca e forte.