Il mondo dei computer là fuori ha sempre una lotta tra il bene e il male. Mentre le forze del bene cercano di tenere a bada cracker e malware, le forze del male escogitano sempre qualcosa di più malvagio di prima, qualcosa di più inarrestabile e più difficile da decifrare. Il ransomware è un tipo speciale di malware, ma a differenza di altri malware che agiscono semplicemente come ladri per rubare i tuoi dati o dacoit che eliminano i tuoi dati, questo malware è intelligente. Agisce come un rapitore e mantiene il tuo sistema rapito, fino a quando non paghi un riscatto, un po’ di soldi, per liberare il tuo sistema.
Cos’è il ransomware?
Il ransomware è una sorta di malware intelligente, ma a differenza di altri malware che si limitano a corrompere, eliminare file o eseguire altri comportamenti sospetti, questo malware blocca il sistema, i file e le app e richiede denaro da te, se desideri recuperarli. Ho detto intelligente perché questo malware aiuta direttamente l’aggressore a guadagnare soldi. Altri tipi di malware, come virus, cavalli di troia ecc., si limitano a corrompere il sistema o rubare alcuni dati sensibili, ma raramente si traducono in qualche vantaggio economico per l’attaccante (a meno che il malware non rubi alcune informazioni sensibili come numeri di carta di credito, ecc.).
L’origine del ransomware
Inizialmente, i ransomware erano molto popolari in Russia, infettando migliaia di sistemi informatici e diffondendosi a macchia d’olio. Questi tipi di malware sono più difficili da rilevare, in quanto possono presentarsi come piccoli programmi innocui allegati a software liberamente disponibili su Internet. La maggior parte di essi può entrare nel tuo sistema tramite file di sistema già infetto, allegati e-mail o malware già esistenti.
Una volta che il ransomware ha trovato il suo host, inizia ad attaccare bloccando l’accesso degli utenti a file, cartelle, impostazioni di sistema o app. Dopo aver tentato di aprire quei file e programmi, l’utente riceve il messaggio che sono stati bloccati e non possono essere aperti a meno che l’utente non accetti di pagare un importo. Di solito, c’è anche un modo per contattare gli aggressori che potrebbero trovarsi in qualche altra parte del mondo, prendendo direttamente il controllo del tuo sistema.
Tipi di ransomware
I ransomware sono normalmente classificati in due tipi, crittografare il ransomware E ransomware non crittografato.
I ransomware di crittografia sono quelli che crittografano i file, i programmi ecc. Del tuo sistema e richiedono un riscatto per decrittografarli. Di solito la crittografia viene eseguita utilizzando un potente algoritmo di hashing che può richiedere diverse migliaia di anni prima che un normale PC desktop li decifra. Quindi l’unico modo in cui l’utente recupera i suoi file è fornire l’importo del riscatto e ottenere la chiave di sblocco. Questo è il ransomware più dannoso per il suo puro meccanismo di attacco.
Un altro tipo di ransomware è quello senza crittografia. Questo non crittografa i tuoi file, ma piuttosto blocca l’accesso ad essi e mostra messaggi irritanti quando provi ad accedervi. Questo è un ransomware meno dannoso e l’utente può facilmente sbarazzarsene eseguendo il backup di file importanti e installando nuovamente il sistema operativo.
Esempi di attacchi ransomware
Uno dei recenti ransomware che ha causato il maggior danno è stato nel 2013, è noto come CryptoLocker. Il cervello dietro questo malware era un hacker russo di nome Evgeniy Bogache. Il malware, quando viene iniettato in un sistema host, esegue la scansione del disco rigido della vittima e prende di mira specifiche estensioni di file e le crittografa. Questi potrebbero essere file o programmi importanti di cui l’utente ha veramente bisogno, come documenti, programmi o chiavi. La crittografia viene eseguita utilizzando una coppia di chiavi RSA a 2048 bit, con la chiave privata caricata sul server di comando e controllo. I programmi quindi minacciano l’utente di eliminare la chiave privata, a meno che non venga effettuato un pagamento in bitcoin entro tre giorni.
Una chiave RSA 2048 è davvero una grande protezione e un normale PC desktop impiegherà diverse migliaia di anni per rompere la chiave usando la forza bruta. L’utente, impotente, accetta di pagare l’importo per riavere i file.
Si stima che questo CryptoLocker Ransomware ha procurato almeno $ 3 milioni prima di essere chiuso.
Mentre questo è un sacco di soldi, un altro ransomware con il nome di WinLock è riuscito a procurarsi 16 milioni di dollari in riscatto. Sebbene non crittografasse il sistema come CryptoLocker, ciò che ha fatto è stato limitare l’accesso all’app dell’utente e mostrare invece immagini pornografiche. L’utente è stato quindi costretto a inviare un SMS a tariffa maggiorata, del costo di circa $ 10, per ottenere un codice per sbloccare il ransomware.
Tutti questi attacchi risalgono al lontano 2013.
Tuttavia, l’attacco più recente è stato effettuato da una forma aggiornata di ransomware, chiamata CryptoWall 2.0. Secondo A Rapporto del New York Times questo ransomware ha attaccato i PC in modo simile a CryptoLocker e ha attaccato file particolarmente importanti nel sistema della vittima, come ricevute fiscali, fatture ecc. Quindi ha richiesto un riscatto di $ 500. Il prezzo del riscatto è raddoppiato dopo una settimana, e ancora una settimana dopo, la chiave di sblocco è stata cancellata.
Recentemente secondo alcuni report, CryptoWall è stato aggiornato alla versione 3.0, e a quanto pare è diventato più pericoloso che mai. Questa versione di CryptoWall crittografa i file dell’utente mediante un sistema di scansione intelligente, quindi genera un collegamento univoco per l’utente. Come protezione per preservare l’anonimato degli aggressori e rendere più difficile l’arresto delle agenzie governative, questo ransomware non utilizza solo Tor, ma anche I2P, il che rende davvero difficile rintracciarli.
Anche se può sembrare ironico, CrytoWall ha un ottimo servizio clienti. Poiché devono mantenere una reputazione per ottenere sempre più denaro, forniscono chiavi di decrittazione all’utente il più rapidamente possibile, spesso entro poche ore dal pagamento del riscatto.
Si è verificato un altro grave incidente di ransomware quando uno studente autistico si è impiccato dopo aver ricevuto un’e-mail di ransomware.
Secondo questo rapporto, l’adolescente ha ricevuto una falsa e-mail dalla polizia che diceva di essere stato sorpreso a navigare su siti Web illegali e che doveva pagare cento sterline o essere perseguito. L’adolescente, preso dal panico, si è impiccato, incapace di affrontare la tragedia.
Sebbene questi tipi di e-mail siano comuni, è necessario assicurarsi che non ci si debba fidare di loro, indipendentemente da quanto siano ufficiali. Spesso conducono l’utente a siti Web di phishing in cui l’aggressore ottiene i conti bancari degli utenti e altre password importanti. La regola empirica è che le agenzie bancarie e le forze dell’ordine non chiederanno mai credenziali private o pagamenti via Internet. Quindi, se ricevi tali e-mail, c’è una buona possibilità che siano una bufala. Puoi sempre chiamare ottenendo il loro numero ufficiale per sapere se ti hanno effettivamente dato tale avviso.
Il ransomware è una buona scommessa per i black hat perché di solito è possibile ottenere molti soldi semplicemente creando piccoli programmi che bloccano o crittografano il sistema in qualche modo. Sebbene siano per lo più popolari nella piattaforma Windows, anche altri sistemi operativi come OS X sono interessati dal ransomware, come uno nel luglio 2013 che ha bloccato il browser dell’utente e lo ha accusato di scaricare materiale pornografico.
Diversi rapporti suggeriscono che gli attacchi ransomware stanno aumentando di giorno in giorno. Sono principalmente diffusi da e-mail di spam, che spesso arrivano come allegati. Gli utenti di Internet devono davvero fare attenzione durante la navigazione in siti Web non ufficiali e l’apertura di tali e-mail.
Perché è difficile catturare gli hacker Ransomware?
La maggior parte del ransomware proviene da paesi post-sovietici come la Russia. Sebbene queste persone richiedano un riscatto, il pagamento avviene sotto forma di bitcoin, una criptovaluta decentralizzata nota per il suo anonimato e per non lasciare tracce. Inoltre, essendo gli hacker di origine straniera, diplomaticamente è difficile convincere i governi stranieri ad agire contro di loro.
Come ci proteggiamo dai ransomware?
Come dice un vecchio proverbio, prevenire è meglio che curare. Quindi, come ci si protegge dal ransomware?
Ebbene, il modo più semplice sarebbe avere un antivirus o un antimalware installato nel proprio sistema e tenerlo sempre aggiornato. Mentre gli antivirus gratuiti sono abbastanza buoni, non bisogna esitare a procurarsene uno a pagamento per una migliore protezione. A parte questo, assicurati di non scaricare programmi sospetti da Internet. Durante il download di programmi, scarica sempre dai siti ufficiali e non da siti non affidabili di terze parti. E ricorda sempre, tieni un backup di tutti i file importanti. Con così può impostarlo e dimenticarlo programmi di backup disponibili, è davvero facile e senza problemi avere un programma di backup. Puoi anche caricare o sincronizzare i file su Google Drive/Dropbox ecc., in modo che non solo tu abbia un backup, ma puoi anche accedere a quei file ovunque ti trovi.
Ricorda, un punto nel tempo ne salva nove. Meglio prevenire che curare.
Come rimuovere il malware Ransomware?
In precedenza, l’unico modo per sbarazzarsi della crittografia del malware ransomware era pagare gli aggressori o accettare che i file fossero stati persi per sempre. Tuttavia, attualmente alcuni ricercatori di sicurezza informatica hanno escogitato programmi che consentiranno agli utenti di decrittografare i file dei propri dischi rigidi senza pagare un riscatto. Come questo sito Web, consente agli utenti di caricare un file crittografato non sensibile sul proprio sito e inserire un indirizzo e-mail. Al termine della decrittazione, il sito ti invierà tramite e-mail la chiave privata insieme alle istruzioni su come rimuovere il cryptolocker dal tuo disco rigido.
Il programma è stato sviluppato da FireEye e FoxIT e ha utilizzato metodi di reverse engineering per violare CryptoLocker. Come segue la regola, ogni cosa crittografata può essere decrittografata, ci vuole solo tempo. Sembra che le buone forze dell’informatica non stiano perdendo, dopotutto.
GUARDA ANCHE: Le 10 migliori app antivirus per smartphone Android