Blog AVG Signal Protezione Ransomware Che cos'è il ransomware: guida completa
What_is_Ransomware-Guide_to_Protection_and_Removal-Hero

Che cos'è il ransomware?

Il ransomware è un tipo di software dannoso che cripta i file sul tuo computer o blocca il tuo dispositivo per poi pretendere un riscatto in cambio della chiave di decriptaggio. Di solito gli hacker chiedono il riscatto in bitcoin o in un'altra criptovaluta e non vi è alcuna garanzia che i file vengano effettivamente decriptati in cambio del pagamento.

Questo articolo contiene:

    Il primo attacco ransomware è stato registrato nel 1989, quando il biologo evoluzionista Joseph Popp infettò i floppy disk con il trojan AIDS e li distribuì ad altri ricercatori. Il malware non veniva eseguito immediatamente ma solo al novantesimo avvio dei PC da parte delle vittime. A quel punto, criptava tutti i file di sistema e richiedeva agli utenti il pagamento di 189 dollari per risolvere il problema. Per fortuna gli esperti hanno elaborato strumenti per rimuovere il malware e decriptare i file infetti.

    Negli ultimi anni, il ransomware si è diffuso a livelli astronomici. Ospedali, enti governativi e grandi aziende sono stati colpiti da attacchi ransomware su larga scala che li hanno costretti a scegliere tra pagare migliaia di dollari come riscatto ai criminali informatici o sostenere milioni di dollari per i costi di ripristino.

    Ma il ransomware è un virus? No, è un tipo diverso di software dannoso. I virus infettano i file o il software e sono in grado di autoreplicarsi. Il ransomware, invece, si limita ad agire sui file fino a renderli inutilizzabili, per poi chiedere un riscatto. Entrambe le tipologie possono essere rimosse con un antivirus, ma se i file sono criptati è poco probabile che possano essere recuperati.

    Tipologie di ransomware

    Il ransomware può presentarsi in qualsiasi forma e dimensione. Alcune varianti sono più dannose di altre, ma hanno tutte un elemento in comune: per definizione, il ransomware presuppone una richiesta di riscatto.

    icon_01Crypto malware o software di criptaggio

    Il crypto malware o il software di criptaggio è la più comune tipologia di ransomware e può causare parecchi danni mediante metodi di criptaggio dei dati super potenti. Oltre a estorcere più di 50.000 dollari alle vittime e a causare altri danni per centinaia di milioni di dollari, WannaCry ha messo a rischio migliaia di vite colpendo gli ospedali di tutto il mondo e impedendo al personale sanitario di accedere alle cartelle dei pazienti.

    icon_02Locker

    I locker infettano il sistema operativo in modo da impedirti completamente di utilizzare il computer o accedere ai file e alle app.

    icon_03Scareware

    Lo scareware è un software contraffatto (come un antivirus o uno strumento di pulizia fasullo) che sostiene di aver rilevato problemi nel PC e richiede il pagamento di denaro per risolverli. Alcune varianti di scareware bloccano il computer, mentre altre invadono lo schermo con fastidiosi avvisi e popup.

    icon_04Doxware

    Il doxware (o leakware) minaccia di pubblicare online le informazioni sottratte se non avviene il pagamento. Tutti noi archiviamo file sensibili nel PC (da contratti e documenti personali a foto imbarazzanti), quindi non è difficile immaginare come mai si scateni il panico.

    icon_05Ransomware as a Service

    Il RaaS (Ransomware as a Service) è una tipologia di malware gestita anonimamente "in hosting" da un hacker che si occupa di tutti gli aspetti, tra cui la distribuzione del ransomware, la riscossione dei pagamenti e la gestione del software di decriptaggio, in cambio di una parte del riscatto.

    icon_06Ransomware per Android

    Nemmeno i tuoi dispositivi mobile Android sono al riparo dal ransomware. Il ransomware per Android è in genere costituito da un locker, che ti impedisce di accedere al dispositivo tramite l'interfaccia utente, o da un popup che non riesci a rimuovere in alcun modo. Il ransomware per Android ha iniziato a fare notizia nel 2016, è triplicato nel 2017 e da allora non ha mai smesso di crescere.

    Esiste anche una variante di WannaCry, WannaLocker, che si propaga nei forum di gioco e colpisce i dispositivi Android in Cina. Dal momento che i dati possono essere facilmente ripristinati tramite la sincronizzazione dei dispositivi, spesso i criminali informatici preferiscono bloccare lo smartphone anziché limitarsi a criptare i file.

    icon_07Ransomware per Mac

    Sebbene i dispositivi Apple siano un po 'più resistenti al malware rispetto ai PC Windows, anche il ransomware per Mac è in ascesa.

    I primi esempi di ransomware per Mac non erano esattamente codificati come ransomware. C'è stata una falsa truffa con riscatto dell'FBI che in realtà era un dirottamento di browser mascherato da ransomware. Poi è stata la volta dell'attacco Oleg Pliss, in cui l'hacker ha utilizzato password iCloud divulgate per bloccare in remoto i dispositivi iOS delle persone tramite la funzionalità Trova il mio iPhone e chiedere un riscatto per sbloccarli. Questi attacchi con riscatto preparano il terreno per un vero e proprio ransomware per Mac.

    Sembra che il più recente malware destinato ai Mac sia stato codificato da ingegneri software specializzati in macOS. Mentre alcuni criminali informatici continuano a prendere di mira gli account iCloud, altri tipi di ransomware per Mac, come KeRanger, si sono evoluti in modo più simile al ransomware per Windows.

    Attacchi e forme di ransomware più noti

    Con le decine di toolkit malware disponibili sul mercato nero di Internet, gli hacker possono contare su un'ottima base di partenza. I più recenti attacchi hanno dimostrato che i criminali informatici si impegnano molto per migliorare il codice, aggiungere funzionalità che ostacolano il rilevamento e perfezionare le email dannose per farle sembrare innocue.

    Anche se quasi chiunque può mettere in campo un proprio piccolo ransomware, alcuni hacker hanno sviluppato potenti forme di ransomware che hanno sconvolto il panorama della sicurezza informatica e hanno acquisito notorietà a livello mondiale. Diamo un'occhiata più da vicino ad alcuni attacchi e forme di ransomware più noti.

    WannaCry

    Dopo aver infettato più di 10.000 organizzazioni e 200.000 persone in oltre 150 paesi, WannaCry si è guadagnato il titolo di attacco ransomware più diffuso in assoluto. Questa forma di ransomware si è avvalsa di un exploit noto come EternalBlue, che sfrutta una vulnerabilità SMB (Server Message Block, un protocollo per la condivisione file di rete) di Windows denominata MS17-010. Quando è stata debellata, aveva attaccato oltre 100 milioni di utenti Windows.

    La richiesta di riscatto del ransomware WannaCry su un computer infetto.La richiesta di riscatto del ransomware WannaCry. (fonte: Wikimedia Commons)

    Petya

    L'attacco ransomware Petya (altre denominazioni sono: Petna, NotPetya, EternalPetya o Nyetya) ha destato grande allerta, ma è stato molto meno dannoso rispetto a WannaCry. Petna ha mietuto vittime soprattutto in Ucraina (con oltre il 90% degli attacchi), ma sono stati registrati tentativi di attacco anche in USA, Russia, Lituania, Bielorussia, Belgio e Brasile.

    Locky

    Apparso per la prima volta nel febbraio 2016, Locky è stato inviato a milioni di utenti di tutto il mondo tramite un tentativo di truffa via email dissimulato sotto forma di fattura o ricevuta di ordine. Questi messaggi email contenevano un documento di Word illeggibile che richiedeva agli utenti di abilitare le macro per visualizzarne il contenuto prima di avviare il download del malware. Attacco dopo attacco, gli autori di Locky continuano a ottimizzare il codice per renderne più difficile il rilevamento nel computer.

    Ransomware Cerber

    Questo malware si presenta sotto forma di toolkit, scaricabile gratuitamente per poi essere installato e diffuso. Viene distribuito tramite un allegato email o per mezzo di un collegamento del tipo Annulla iscrizione in un messaggio email di spam, che reindirizza le vittime allo stesso allegato. È in grado di agire anche se l'utente è offline e di criptare oltre 400 tipi di file, compresi i file di database.

    Truffe e ransomware correlati a COVID-19

    Con la diffusione della pandemia di COVID-19 nel 2020 si è registrato un aumento di spietati criminali informatici che hanno approfittato dell'atmosfera di forte apprensione. Si è assistito a molte truffe legate a mascherine e vaccini e innumerevoli ospedali sono stati colpiti da ransomware, malgrado la tensione che già dovevano affrontare a causa della pandemia.

    Altre forme note di ransomware includono Bad Rabbit, Cryptolocker, GoldenEye, Jigsaw, Maze e Ryuk. Mentre gli hacker continuano a ottimizzare il codice, una di queste varianti potrebbe ricomparire in qualsiasi momento.

    Come prevenire il ransomware

    Il modo migliore per evitare ransomware e altri tipi di malware è praticare abitudini digitali intelligenti. In altre parole, evitare siti Web, collegamenti, allegati e messaggi di spam sospetti e seguire le buone pratiche per la sicurezza dell'email. Ecco alcuni suggerimenti aggiuntivi per imparare a proteggerti dal ransomware:

    Esegui il backup dei file importanti

    Esegui il backup dei file importanti oppure clona l'intero disco rigido per salvare tutto. Puoi utilizzare un'unità esterna, un servizio cloud o entrambi. Scegli tra Dropbox, Google Drive, Mega o un altro servizio cloud gratuito per archiviare in modo sicuro i tuoi documenti e le tue foto importanti. Trova un servizio che ti consenta di ripristinare una versione precedente dei dati nel caso in cui accada qualcosa al tuo account.

    Se i criminali informatici bloccano i tuoi file importanti, ma disponi di un backup archiviato in modo sicuro, non avranno alcuna leva su di te. Potrai semplicemente rimuovere il ransomware, ripristinare i file e ignorare qualsiasi richiesta di riscatto.

    Il backup dei file spezza le ali agli attacchi ransomware.Il backup dei file spezza le ali agli attacchi ransomware.

    Utilizza una soluzione antivirus aggiornata

    Il software antivirus offre una protezione essenziale da qualsiasi tentativo di compromettere il computer. Prova AVG AntiVirus Free per una protezione attiva tutti i giorni, 24 ore su 24, contro il ransomware e tutti gli altri tipi di malware. E con AVG Internet Security potrai usufruire di uno strumento di difesa ancora più efficace contro il ransomware grazie alla potente funzionalità per la protezione ransomware ottimizzata.

    Consulta la nostra guida alla prevenzione del ransomware per configurare la tua protezione in AVG AntiVirus Free.

    Aggiorna il sistema operativo

    Gli aggiornamenti della sicurezza sono fondamentali per la protezione del computer. Il software obsoleto ti rende più vulnerabile a tutti i tipi di malware, compreso il ransomware come WannaCry. Mantieni sempre aggiornati il sistema operativo e le app: utilizza gli aggiornamenti automatici quando possibile, altrimenti installa gli aggiornamenti non appena sono disponibili.

    Sei a rischio ransomware?

    Se non ti stai proteggendo dal ransomware con software aggiornato e uno strumento anti-ransomware affidabile, la risposta è sì. Puoi essere preso di mira da un attacco ransomware. Il ransomware è spesso progettato in modo da sfruttare le falle di sicurezza nel software obsoleto e nei dispositivi non protetti.

    Ad esempio, WannaCry ha sfruttato una vulnerabilità di Windows per infettare oltre 200.000 persone e 10.000 aziende, enti pubblici e organizzazioni di tutto il mondo. Chi non aveva installato la patch di sicurezza rilasciata da Microsoft agli inizi di quell'anno era di fatto vulnerabile.

    Gli utenti Windows XP sono stati i più colpiti: Microsoft aveva interrotto il supporto di questa versione di Windows tre anni prima e ha provveduto a rilasciare un'apposita patch solo quando l'attacco aveva già assunto da tempo una portata preoccupante. Se utilizzi ancora Windows XP, ti consigliamo vivamente di aggiornare il sistema operativo.

    Se per gli utenti standard l'installazione degli aggiornamenti di sicurezza è solitamente un'operazione semplice e veloce, le organizzazioni più grandi sono di gran lunga più vulnerabili. Spesso utilizzano software personalizzato sensibile e devono distribuire le correzioni su un numero enorme di dispositivi, pertanto il processo di aggiornamento risulta molto più difficile e dispendioso in termini di tempo.

    Inoltre, alcune organizzazioni non dispongono dei fondi necessari per acquistare nuovo software. I budget degli ospedali sono destinati a salvare vite, non computer, ma le due cose possono coincidere quando i sistemi vengono colpiti e il personale non può più accedere alle cartelle cliniche.

    I crimini informatici sono la principale fonte di preoccupazione per le organizzazioni che trattano dati sensibili, ma questo non vuol dire che gli utenti standard dei PC siano al sicuro, perché anche le foto di famiglia o i file personali sono oggetto di interesse per gli hacker.

    In che modo il ransomware infetta i PC

    Il ransomware può insinuarsi nel tuo computer tramite allegati email, annunci o collegamenti dannosi, download drive-by ed exploit di vulnerabilità della sicurezza. Dopo aver infettato il tuo PC, alcune forme di ransomware possono diffondersi ai tuoi contatti e infettarli, quindi ai contatti dei loro contatti e così via.

    Il ransomware si diffonde in fretta e gli effetti sono devastanti. Ecco come accede al computer:

    • Social engineering: un'espressione elegante che indica una tecnica di inganno delle persone. Il social engineering viene spesso utilizzato per indurre le persone a scaricare malware da un collegamento o un allegato contraffatto. I file dannosi si presentano spesso come normali documenti (conferme d'ordine, ricevute, fatture, avvisi) e sono apparentemente inviati da un istituto o un'azienda affidabile. Quando scarichi uno di questi file sul tuo computer e lo apri, vieni infettato dal ransomware.

    • Malvertising: la pubblicità dannosa incorpora ransomware, spyware, virus e altre nefandezze in reti e annunci pubblicitari. Gli hacker possono addirittura spingersi ad acquistare spazi sui siti Web più utilizzati (compresi i social network o YouTube) per diffondere ransomware.

    • Kit di exploit: i criminali informatici possono impacchettare codice precompilato in uno strumento di hacking pronto all'uso. Questi kit hanno l'obiettivo di sfruttare le vulnerabilità e le falle nella sicurezza causate da software non aggiornato.

    • Download drive-by: alcuni siti Web dannosi approfittano di app o browser non aggiornati e scaricano segretamente malware in background mentre esplori un sito Web apparentemente innocuo o guardi un video.

    Come funziona il ransomware

    Il ransomware funziona impedendoti di accedere ai tuoi dati. Dopo aver ottenuto l'accesso al tuo computer, cripta silenziosamente i tuoi file e quindi chiede il pagamento di un riscatto in cambio della restituzione dell'accesso ai dati criptati. A questo punto, è troppo tardi per recuperare i file, poiché sono già criptati.

    Come avviene un attacco ransomware

    Gli attacchi ransomware seguono modelli di attacco distinti. Innanzitutto, il malware deve raggiungere il tuo computer. Quindi, inizia a criptare i tuoi dati. Infine, rivela la sua presenza con una richiesta di riscatto.

    Ecco come avvengono gli attacchi ransomware:

    Passaggio 1: Infezione del dispositivo

    Un attacco ransomware potrebbe cominciare con un messaggio email a prima vista innocuo, potenzialmente inviato da un mittente legittimo, in cui ti viene richiesto di scaricare una fattura o un altro documento importante. Gli hacker spesso mascherano la vera estensione del file per far credere alle vittime che si tratti di un file PDF o DOC oppure di un foglio di Excel, mentre in realtà si tratta di un file eseguibile che viene eseguito in background non appena fai clic.

    Passaggio 2: Criptaggio dei dati

    Inizialmente non avviene niente di strano. I file rimangono accessibili e tutto continua a funzionare, almeno in apparenza. Il malware, però, contatta a tua insaputa il server dell'hacker e genera una coppia di chiavi: una pubblica per criptare i file e una privata, memorizzata nel server dell'hacker, per decriptarli.

    Quando il ransomware raggiunge il disco rigido, non ti resta molto tempo per salvare i dati. Da questo momento in poi, il tuo intervento non è più necessario. Il ransomware inizia a eseguire e criptare i file e si palesa solo dopo che il danno è fatto.

    Passaggio 3: Richiesta di riscatto

    Viene visualizzata una richiesta di riscatto con l'importo da pagare e la modalità per il trasferimento di denaro. Dal momento dell'infezione, solitamente hai pochi giorni per pagare il riscatto e se non rispetti la scadenza l'importo aumenta.

    Esempio di una richiesta di riscatto del ransomware CryptoLocker.Esempio di una richiesta di riscatto del ransomware CryptoLocker.

    Non riuscirai ad aprire i file criptati e, se provi ad aprirli, verrà visualizzato un messaggio di errore in cui è indicato che il file non può essere caricato, è danneggiato o non è valido.

    Come rimuovere il ransomware

    Se non ti è stato bloccato l'accesso al PC, eliminare il ransomware è piuttosto semplice. La procedura è uguale alla rimozione di un virus o di un altro tipo di malware comune. Tuttavia, la rimozione del ransomware non decripta i file.

    La procedura per la rimozione del ransomware è simile a quella utilizzata per rimuovere altri tipi di software dannoso: scaricare un prodotto software antivirus attendibile, eseguire una scansione per identificare il ransomware e quindi mettere in quarantena o eliminare il malware. In alternativa, puoi anche rimuovere tutti i tipi di malware manualmente, anche se l'operazione è più complicata.

    Le cose si complicano leggermente se il PC è stato infettato da un locker, che impedisce di accedere a Windows o di eseguire i programmi. Esistono tre modi per correggere un'infezione da locker:

    • Eseguire un ripristino di sistema per ripristinare Windows a un momento in cui il PC era in stato ottimale.

    • Eseguire il programma antivirus da un disco di avvio o da un'unità esterna.

    • Reinstallare il sistema operativo.

    Uno strumento antivirus affidabile come AVG AntiVirus Free non solo rimuoverà ransomware e altro malware non appena viene rilevato nel sistema, ma agirà d'anticipo per impedire direttamente queste infezioni.

    Ripristino di sistema in Windows 10, 8.1 o 8:

    1. Accendi il PC e tieni premuto il tasto MAIUSC per accedere alle schermate di ripristino (esegui il riavvio se l'operazione non va a buon fine).

    2. Seleziona Risoluzione dei problemi.

    3. Vai a Opzioni avanzate.

    4. Fai clic su Ripristino del sistema.

    Ripristino di sistema in Windows 7:

    1. Accendi il PC e premi F8 per accedere al menu delle opzioni di avvio avanzate.

    2. Seleziona Ripristina il computer e premi INVIO.

    3. Accedi con la password e il nome del tuo account Windows (o lascia vuoto il campo se non hai un account).

    4. Fai clic su Ripristino configurazione di sistema.

    Come ripristinare i file

    Se esegui regolarmente il backup dei tuoi dati, non c'è bisogno di preoccuparsi molto del ripristino da ransomware. Basta eliminare il ransomware e quindi ripristinare i file dal backup.

    Se invece non disponi dei dati di backup, potresti non avere molta fortuna. A volte il criptaggio a 32 e 64 bit risulta decifrabile. In tal caso, potresti avere qualche possibilità, se i criminali informatici hanno utilizzato proprio questo tipo di criptaggio. Inoltre, i ricercatori nel campo della sicurezza informatica sono riusciti a decifrare alcune forme di ransomware e a replicare le loro chiavi di decriptaggio.

    La prevenzione, ovvero l'utilizzo di un antivirus e il backup regolare dei dati, è il modo migliore per proteggersi dagli attacchi ransomware.

    I nostri strumenti gratuiti per il decriptaggio di ransomware ti aiuteranno a recuperare i file infettati da Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker, TeslaCrypt e altre forme di ransomware.

    Tuttavia, attualmente molte tipologie di ransomware, inclusi i noti WannaCry, Locky o Cerber, utilizzano il criptaggio a 128 o 256 bit (e a volte una combinazione di entrambi). Questo complesso livello di criptaggio viene utilizzato anche da server, browser e VPN per proteggere i tuoi dati, in quanto sicuro e inviolabile.

    Se i tuoi file sono stati infettati da una variante di ransomware tramite uno di questi metodi di criptaggio altamente sicuri, il recupero è quasi impossibile. Ecco perché la prevenzione, ovvero l'utilizzo di un antivirus e il backup regolare dei dati, è il modo migliore per proteggersi dagli attacchi ransomware.

    Dovrei pagare il riscatto?

    Il nostro consiglio è di non pagare il riscatto. Tieni presente che stai avendo a che fare con criminali informatici e non hai alcuna garanzia che mantengano la loro promessa. Il pagamento di richieste di riscatto è per gli hacker una conferma che il ransomware è un'attività redditizia, li incoraggia a continuare a utilizzare il ransomware e finanzia altri crimini informatici.

    In alcuni casi, il ransomware non può effettivamente essere decriptato. È stato così nel caso di Petya, poiché l'algoritmo di criptaggio del ransomware era irreversibile. Anche se i professionisti della sicurezza informatica raccomandano in genere di non pagare il riscatto, non tutti ascoltano le loro parole. Quando le aziende, non pagando il riscatto, devono far fronte a costi di recupero ancora più elevati, a volte si danno per vinte.

    Nel giugno 2017 l'azienda sudcoreana di hosting Web Nayana ha pagato 397,6 bitcoin (pari a circa 1 milione di dollari) in seguito a un attacco ransomware Erebus. A quel tempo era il riscatto più alto mai pagato.

    Solo quattro anni dopo, nel giugno 2021, il fornitore di carne JBS ha pagato l'equivalente di 11 milioni di dollari per una richiesta di riscatto. In quell'occasione l'FBI ha incolpato il gruppo di hacker di lingua russa REvil, alcuni degli hacker più pericolosi in circolazione.

    Sempre nel 2021, il famigerato gruppo di hacker DarkSide ha sferrato un attacco ransomware contro la Colonial Pipeline Co., che gestisce un gasdotto che trasporta quasi la metà del carburante utilizzato sulla costa orientale degli Stati Uniti. Anziché affrontare il grosso grattacapo di dover ricostruire i suoi sistemi, la Colonial ha preferito pagare un riscatto di quasi 5 milioni di dollari.

    Il forte aumento delle richieste di riscatto dimostra che gli hacker non hanno intenzione di fermarsi tanto presto e che il ransomware continua a diventare più pericoloso.

    Previeni il ransomware con software per la sicurezza informatica

    In definitiva, è giusto pagare il riscatto? La nostra risposta è no. Procurati piuttosto un buon antivirus, con protezione da ransomware gratuita, per non doverti preoccupare minimamente del pagamento di un riscatto. AVG AntiVirus Free protegge da ransomware, virus, phishing e tutti gli altri tipi di minacce digitali.

    Proteggi l'iPhone dal ransomware con AVG Mobile Security

    Installazione gratuita

    Neutralizza il ransomware e altre minacce con AVG AntiVirus

    Installazione gratuita