Cos'è il ransomware e come proteggerlo

Il ransomware è una forma di malware che crittografa file multimediali, documenti e altri file sul PC di destinazione e l'accesso a tali file è concesso solo una volta soddisfatte le richieste di riscatto dell'attaccante.

Attualmente, esistono due tipi di ransomware: uno che blocca determinati file su un computer e l'altro che blocca l'intero sistema. Quest'ultimo si trova principalmente sugli smartphone.

Il ransomware esiste da più di un decennio ormai. I primi casi di un simile attacco sono stati trovati in Russia nel 2005 con Trojan GPcoder.

Storia antica: The Russian Connect

Il primo virus ransomware noto per creare problemi su larga scala sono stati sviluppati da criminali organizzati russi e sono emersi nel 2005 e nel 2006.

Questi malware hanno infettato i PC in Russia, Bielorussia, Ucraina e Kazakistan. Uno dei ceppi di malware si chiamava Archievus e un altro chiamato Troj_Cryzip.A.

Mentre il primo ha crittografato la cartella "I miei documenti", il secondo ha identificato e spostato alcuni tipi di file in un PC in una cartella Zip protetta da password, che sarebbe sbloccata solo quando la vittima trasferiva poche centinaia di dollari all'attaccante tramite E-Gold - valuta elettronica prima di Bitcoin.

E-Gold è stato sospeso nel 2009 sotto le indicazioni del governo degli Stati Uniti a causa di un gran numero di criminali che lo utilizzavano per riciclare denaro. Successivamente, Bitcoin e carte di debito prepagate vengono utilizzate come metodo di riscatto.

Verso la fine del primo decennio, numerosi attacchi di ransomware sono emersi anche impersonando le forze dell'ordine. Questi aggressori molesterebbero le vittime con false accuse come violazione del copyright ed estrarrebbero "multe" per queste accuse inesistenti.

Il più noto di questi imitatori delle forze dell'ordine era Reveton, un ransomware che avrebbe funzionato localmente. A seconda del paese in cui risiede la vittima, Reveton impersonerebbe la polizia nazionale.

Gli sviluppatori hanno compiuto sforzi di localizzazione per quasi tutti i paesi europei, USA, Australia, Canada e Nuova Zelanda. Il ransomware non ha utilizzato la crittografia per bloccare i file dell'utente, il che ha reso più semplice la rimozione con un antivirus o tramite la modalità provvisoria.

Nel 2012, un altro ransomware ha preso di mira Windows Master Boot Record (MBR) e lo ha sostituito con un codice dannoso. All'avvio di un sistema infetto, l'utente riceveva istruzioni per pagare un importo considerevole tramite QIWI, un sistema di pagamento di proprietà russa, al fine di ottenere l'accesso al proprio dispositivo.

Crypto-ransomware moderno

Uno dei metodi ransomware moderni è stato trovato per la prima volta nel 2012-13. CryptoLocker è stato il primo programma di malware di grande successo che ha raccolto $ 27 milioni di dollari in riscatto.

CryptoLocker viene crittografato utilizzando una chiave AES a 256 bit e una chiave RSA a 2048 bit, il che rende la crittografia quasi indistruttibile anche se il malware viene rimosso, rendendolo uno dei modi più efficaci per gli aggressori.

Alle vittime di questi attacchi è stato chiesto di pagare $ 400 o più per ricevere la chiave di decrittazione e sono stati minacciati di cancellazione della chiave se non sono riusciti a pagare entro 72 ore.

Nel 2014, CryptoLocker è stato abbattuto da un consorzio di agenzie governative, società di sicurezza e istituzioni accademiche in Operation Tovar. Successivamente, hanno anche lanciato un servizio per le persone colpite da CryptoLocker che li ha aiutati a decifrare i loro dispositivi gratuitamente.

Sebbene la minaccia di CryptoLocker non sia durata a lungo, ma sicuramente ha aiutato gli aggressori a esplorare il mondo del ransomware e ad accertare quanto possa essere redditizio - con conseguente conseguente rilascio di una serie di ceppi di ransomware sul mercato.

CryptoLocker è stato seguito da TorrentLocker, un programma ransomware emerso come allegato e-mail - di solito un file word con macro dannose - che bloccava alcuni tipi di file sul computer con una crittografia AES.

TorrentLocker è ancora attivo e si è evoluto molto negli ultimi anni. Le versioni più recenti rinominano tutti i file infetti su un computer, il che rende impossibile per l'utente identificare quali file sono stati crittografati e ripristinare i file tramite backup.

Il ransomware non infetta solo PC Windows ma anche Linux e Mac OS. Nel 2015 è stata trovata una varietà di ransomware che infettava i PC in esecuzione su Linux e nel 2016 è stata trovata una varietà destinata ad attaccare i computer Mac.

Nell'ultimo decennio, gli attacchi di cripto-ransomware sono aumentati notevolmente man mano che l'antivirus falso e altre app fuorvianti sono diminuiti in numero. Solo nel 2016 sono stati segnalati 638 milioni di casi di ransomware.

Come combatterlo?

Esistono numerosi siti Web e società di sicurezza che stanno cercando di informare le persone sulle minacce del malware e di fornire loro strumenti per prevenirlo, oltre a decrittografare le informazioni bloccate da un utente malintenzionato.

Un servizio antivirus popolare come Avast ha messo a punto i suoi strumenti di decrittazione per Windows e per Android per aiutare le persone ad affrontare la crescente minaccia del ransomware. Questi strumenti sono gratuiti e coprono una vasta gamma di ransomware, anche se alcuni dei nuovi potrebbero non essere coperti, ma possono comunque darti un inizio.

No More Ransom è un sito Web che fornisce notizie sugli ultimi sviluppi nell'ecosfera ransomware e indirizza gli utenti verso strumenti che possono essere utilizzati per combattere queste minacce. Il sito Web è uno sforzo congiunto di polizia olandese, Europol, Kaspersky Lab e Intel Security.

Se hai trovato uno strumento che può guidarti attraverso la decrittazione del ransomware che colpisce il tuo PC attualmente, allora tutto ciò che devi fare è identificarlo. ID Ransomware è un sito Web che ti aiuta a fare proprio questo, tutto ciò che devi fare è caricare una copia della nota di riscatto.

Se stai cercando uno strumento che offra protezione al tuo PC Windows in tempo reale, CyberReason Ransomfree è la risposta alle tue esigenze.

Il ransomware è stato una minaccia nell'era dei dispositivi connessi a Internet e quando l'IoT diventa un luogo comune, può rivelarsi un problema ancora più grande.

Attualmente, il ransomware influisce solo sul dispositivo o sui file e revoca l'accesso dell'utente fino al pagamento del riscatto, ma con la popolarità emergente dei dispositivi Smart Home, perdere l'accesso al dispositivo sarebbe solo l'inizio delle tue preoccupazioni.