34985903622
Blog AVG Signal Protezione Ransomware Guida completa al ransomware per Mac: come riconoscerlo e prevenirlo
Mac_Ransomware_is_Real_Hero

Scritto da Clayton Weeks
Pubblicato il giorno March 20, 2018

Che cos'è il ransomware per Mac?

Il ransomware è un tipo di software dannoso che blocca l'accesso al tuo computer o a specifici file finché non accetti di pagare un riscatto in denaro per riaverli. Il ransomware per Mac è semplicemente un ransomware che prende di mira desktop e portatili Apple. Proprio così, anche i Mac devono essere protetti contro il malware. Benché attualmente non sia diffuso quanto le varianti che attaccano i computer Windows, il ransomware per Mac è altrettanto orribile.

Questo articolo contiene:

    Statistiche sul ransomware: 15 trilioni di hotdog all'anno

    Si prevede che il ransomware costerà al mondo 6 trilioni di dollari in danni ogni anno entro il 2021. Si tratta di un sacco di soldi. E anche di hotdog! A circa 4 dollari per una confezione da 10 di würstel, 6 trilioni di dollari fanno 15 trilioni di hotdog. Messi in fila, questi panini lunghi 15 centimetri coprirebbero una distanza di oltre 2,2 milioni di chilometri, cioè fino alla luna e ritorno per circa 6 volte.

    Il ransomware è destinato a causare danni per 6 trilioni di dollari entro il 2021

    Gran parte delle vittime del ransomware è costituita da utenti di Windows. Altre informazioni sul ransomware per PC sono disponibili qui. Tuttavia, questa tendenza sta cambiando. Sfortunatamente, esistono anche ransomware per Android e ransomware per Mac. In effetti, si prevede un aumento del ransomware per Mac e di altri attacchi basati su richiesta di riscatto contro gli utenti Mac.

    Inoltre, chiunque esegua Windows su un Mac (tramite Boot Camp, Parallels e così via) è altrettanto vulnerabile al malware e al ransomware per PC di chi lo esegue su un PC. Se dunque usi Windows sul tuo Mac, assicurati che sia sempre aggiornato. E non dimenticare: Microsoft ha interrotto ufficialmente il supporto per Windows XP o Windows Vista, mentre la disponibilità degli aggiornamenti di sicurezza per Windows 7 terminerà a gennaio 2020. Di conseguenza, se usi ancora una di queste versioni, effettua l'aggiornamento al più presto.

    Breve storia degli attacchi basati su richiesta di riscatto su Mac

    Alla velocità con cui progrediscono le moderne tecnologie, ci si potrebbero aspettare tonnellate di varianti di ransomware per Mac. Fortunatamente non è così. In realtà, gli effettivi attacchi ransomware riscontrati finora sono solo un paio: Patcher e KeRanger. Sono stati sferrati anche altri attacchi basati su richiesta di riscatto, che però tecnicamente non erano basati su vero e proprio ransomware. Per motivi di completezza, tuttavia, nelle prossime sezioni parleremo anche di questi.

    FBI Ransomware (rilevato nel 2013)

    Tecnicamente, per questo attacco basato su browser non è stato utilizzato alcun tipo ransomware, perché in realtà non è stato installato malware in nessun Mac. L'attacco comunque comprendeva una richiesta di riscatto.

    Ispirati da attacchi simili per Windows, qualche ingegnoso criminale ha combinato un pizzico di ingegneria sociale con del codice JavaScript per dirottare i browser per Mac. In pratica, facendo clic su alcuni link dannosi le persone venivano reindirizzate alla pagina illustrata di seguito:

    Screenshot of the FBI Ransomware webpage.

    Oh no... La pagina dell'FBI è falsa, ma esige denaro autentico!

    La parte più divertente iniziava quando tentavi di chiudere la pagina. Perché in realtà non era possibile. Qualsiasi tentativo attivava questo irritante messaggio popup:

    Screenshot of the FBI Ransomware popup message which warns that the victim's browser is locked.

    Accesso vietato!

    Arrestare Safari non serviva a nulla, perché una volta riavviato riapriva sempre le schede precedenti, inclusa quella con il molesto messaggio popup della richiesta di riscatto. Non sembravano esserci vie di uscita...

    Per risolvere il problema, dovevi reimpostare Safari (e perdere tutte le impostazioni) o forzarne la chiusura dal menu Apple, per poi riavviarlo tenendo premuto il tasto MAIUSC, in modo da aprire il browser senza caricare le schede aperte in precedenza. Poiché non veniva installato alcun software dannoso, una volta chiusa la pagina pericolosa, il Mac era a posto.

    FileCoder (rilevato a marzo 2014)

    I ricercatori hanno individuato questo esempio di ransomware per Mac nel lontano marzo 2014. Tuttavia, il codice era incompleto. Qualunque fosse il motivo, il suo autore non l'aveva completato. In realtà, quando è stato scoperto dai ricercatori il ransomware era già in circolazione da due anni, cioè la sua creazione risaliva al 2012. Proprio così, il ransomware per Mac risale almeno al 2012. Per fare un confronto: il primo attacco ransomware su Windows è stato il trojan AIDS del 1989.

    Oleg Pliss (rilevato a maggio 2014)

    In questo attacco non è stato utilizzato un vero e proprio ransomware. Al contrario, un hacker ha sfruttato alcune password violate per impedire agli utenti di iCloud di accedere ai loro account e dispositivi. Una volta introdottosi negli account delle vittime, l'hacker ha usato la funzionalità Trova il mio Mac/iPhone di Apple per bloccare in remoto iPhone, iPad e Mac e quindi esigere denaro dagli utenti per sbloccare i dispositivi. L'hacker era anche in grado di cancellare in remoto i dati dai dispositivi.

    Parafrasando la famosa canzone: "Bye bye, app! Bye bye, foto! Hello, loneliness. I think I'm gonna cry".

    Screenshot of the Oleg Pliss ransom demand message on an iPhone lock screen.

    "Me parlare bello. Tu dare denaro."

    Fortunatamente, per prevenire gli attacchi contro iCloud come questo è sufficiente configurare l'autenticazione a due fattori. Una volta configurata, gli hacker non potranno accedere al tuo account, neanche se conoscono la tua password. Addio, Oleg.

    KeRanger (rilevato a marzo 2016)

    KeRanger ha colpito oltre 7.000 utenti Mac tramite una versione infetta (2.90) di Transmission, un client BitTorrent molto diffuso tra gli utenti Mac. Questa versione dannosa è stata disponibile per il download nel sito Web di Transmission tra il 4 e il 5 marzo 2016 e secondo il progetto Transmission è stata scaricata circa 6.500 volte da utenti ignari. Poiché questa versione era firmata con il certificato di uno sviluppatore legittimo, gli utenti Mac hanno potuto installarla senza che le funzionalità di sicurezza integrate di macOS venissero attivate. Ed ecco che cosa è successo:

     Schermata delle istruzioni del ransomware KeRanger per il decriptaggio dei file.

    Incredibile... ti offrono un decriptaggio GRATIS!

    Apple ha immediatamente revocato il certificato e la versione dannosa è stata rimossa dal sito Web di Transmission.

    Patcher (rilevato a febbraio 2017)

    Scaricato tramite BitTorrent, Patcher (noto anche come FindZip) è un tipo di ransomware travestito da patcher per app popolari come Microsoft Office e Adobe Premiere Pro. I patcher autentici sono software progettati per fornire "patch", ovvero aggiornamenti o correzioni per le app. Questo Patcher, invece, era un solo un pulcioso strumento che criptava per sempre i file.

    Una volta eseguito, Patcher iniziava a criptare i file presenti nelle directory /Users e nelle unità montate o esterne usando le directory /Volumes. Una nota di riscatto denominata "README.txt" o "DECRYPT!.txt" veniva aggiunta al desktop con una richiesta di 0,25 bitcoin (circa 260 euro).

    L'aspetto triste di Patcher è che il suo codice era difettoso e non riusciva comunicare con i server di controllo. A causa della propria incompetenza, gli hacker non erano in grado di inviare la chiave di decriptaggio a nessuno. In altre parole: anche pagando il riscatto, non avresti mai avuto indietro i tuoi file. Una vera sfortuna per i poveri utenti Mac colpiti da Patcher.

    La buona notizia è che rimuovere Patcher è stato semplice, proprio come eliminare le finte app patcher per Adobe Premiere e Microsoft Office. Poiché non c'erano altri file da cancellare, la rimozione è stata un gioco da ragazzi.

    Come posso prevenire gli attacchi ransomware sul mio Mac?

    Forse non si tratta davvero di hotdog e forse non hanno nemmeno la faccia di Kevin Spacey... Ma è molto probabile che nel tuo Mac ci siano file che è meglio proteggere: foto di famiglia irrinunciabili, musica pop imbarazzante, importanti documenti fiscali... E a meno che tu non abbia montagne di lingotti d'oro che non vedi l'ora di regalare agli hacker, faresti meglio a seguire questi semplici suggerimenti per prevenire gli attacchi ransomware. Come si usa dire, un grammo di prevenzione vale un chilo di cure.

    • Mantieni il Mac sempre aggiornato:
      Un software non aggiornato è come legno marcio: debole e pieno di buchi che lasciano entrare la sporcizia. Gli aggiornamenti possono chiudere questi buchi e rendere più difficile la vita al malware che cerca di entrare. Assicurati dunque di aggiornare spesso sistema operativo e app.

    • Fai attenzione prima di installare qualcosa o di fare clic su un collegamento:
      Ormai dovresti saperlo! Se ricevi un'email da qualcuno che non conosci o un messaggio sospetto da qualcuno che conosci, non aprire alcun allegato e non fare clic da nessuna parte. È così che i Mac vengono infettati.

    • Installa solo app provenienti da siti ufficiali o dall'App Store Mac:
      L'installazione di software da fonti non attendibili è rischiosa, perché non puoi sapere con certezza che cosa stai effettivamente scaricando. Il software scaricato da Torrent, ad esempio, può includere ransomware. È più sicuro continuare a utilizzare siti Web ufficiali o l'App Store.

    • Esegui frequenti backup:
      Salva i backup in un disco esterno e scollega quest'ultimo dal Mac al termine. Un ransomware che dovesse riuscire a penetrare nel Mac, non sarà comunque in grado di criptare i file di backup salvati sull'unità scollegata. Dopo aver rimosso il ransomware, esegui una scansione completa del Mac per assicurarti che non vi sia più nulla di pericoloso al suo interno e quindi ricollega l'unità di backup per recuperare i file.

    Come posso rimuovere un ransomware per Mac?

    Se il tuo Mac è stato infettato dal ransomware, niente panico! Qualsiasi cosa fai, non pagare il riscatto. Non è garantito che pagando il riscatto riavrai indietro i tuoi file: pagare serve solo a incoraggiare gli hacker a persistere negli attacchi.

    Per rimuovere il ransomware, assicurati di avere installato la versione più recente di AVG AntiVirus per Mac ed esegui una scansione approfondita. Fai clic sull'icona dell'ingranaggio accanto al pulsante "Scansiona Mac" e quindi seleziona "Scansione approfondita" dalle opzioni di scansione. Se il ransomware è una variante nota, verrà rimosso dall'antivirus.

    E per quanto riguarda i file criptati? Se utilizzi un PC, potresti avere fortuna. Dai un'occhiata ai nostri strumenti per il decriptaggio del ransomware per Windows. Se invece sei un utente Mac, puoi fare ben poco, se non ripristinarli da un backup. Ecco perché devi sempre, assolutamente sempre, eseguire il backup del computer e scollegare l'unità di backup al termine. Prima di ripristinare i file, assicurati di aver rimosso il ransomware o rischierai di infettare anche l'unità di backup.

    Ripeto, non pagare il riscatto!

    MAC

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita
    Ransomware
    Protezione
    Clayton Weeks
    20-03-2018