Pericoloso per te e molto redditizio per gli hacker, il ransomware ha ormai conquistato il primato tra le minacce per la sicurezza. Negli ultimi anni, tentativi di infezione e attacchi hanno fatto registrare un'impennata. E la tendenza sembra destinata a proseguire, dal momento che ogni nuova versione è sempre più efficace e distruttiva delle precedenti.

Che cos'è il ransomware?

Per ransomware si intende software dannoso in grado di crittare i file nel computer e impedire completamente l'accesso da parte dell'utente. Viene diffuso dagli hacker che successivamente chiedono un riscatto (in genere 300-500 $/GPB/EUR, preferibilmente in bitcoin) "promettendo" di fornire la chiave di decrittaggio per recuperare i file una volta ricevuto il pagamento.

Il primo attacco ransomware è stato registrato nel 1989, quando il biologo evoluzionista Joseph Popp infettò i floppy disk con il trojan AIDS e li distribuì ad altri ricercatori. Il malware non veniva eseguito immediatamente ma solo al novantesimo avvio dei PC da parte delle vittime. A quel punto, crittava tutti i file di sistema e richiedeva agli utenti il pagamento di 189 $ per risolvere il problema. Per fortuna gli esperti hanno elaborato strumenti per rimuovere il malware e decrittare i file infetti.

Ma il ransomware è un virus? No. I virus infettano i file o il software e sono in grado di replicarsi, mentre il ransowmare agisce sui file fino a renderli inutilizzabili, per poi richiedere un riscatto. Entrambe le tipologie possono essere rimosse con un antivirus, ma se i file sono crittati è possibile che non siano più recuperabili.

Tipologie di ransomware

Il ransomware può presentarsi in qualsiasi forma e dimensione. Alcune varianti sono più dannose di altre, ma tutte hanno un elemento in comune: il riscatto.

Tipologie di ransomware

  1. Il crypto malware o i software di crittaggio costituiscono la più comune tipologia di ransomware e possono comportare parecchi danni. Oltre a estorcere più di 50.000 dollari alle vittime, WannaCry ha realmente messo a rischio migliaia di vite colpendo gli ospedali di tutto il mondo e impedendo al personale sanitario di accedere alle cartelle dei pazienti.
  2. I locker infettano il sistema operativo in modo da impedirti completamente di utilizzare il computer o accedere ai file e alle app.
  3. Lo scareware è un software contraffatto (come un antivirus o uno strumento di pulizia) che sostiene di aver rilevato problemi nel PC e chiede il pagamento di un importo per risolverli. Alcune varianti bloccano il computer, altre invadono lo schermo con fastidiosi avvisi e popup.
  4. Il doxware (o leakware) minaccia di pubblicare online le informazioni sottratte se non avviene il pagamento. Tutti noi archiviamo file sensibili nel PC (che vanno da contratti e documenti personali a foto imbarazzanti), quindi non è difficile immaginare come mai si scateni il panico.
  5. Il RaaS (Ransomware as a Service) è una tipologia di malware gestita anonimamente "in hosting" da un hacker che si occupa di tutti gli aspetti, tra cui la distribuzione del ransomware, la riscossione dei pagamenti, la gestione dei software di decrittaggio, in cambio di una parte del riscatto.

Ransomware Android

Nemmeno i tuoi dispositivi mobile Android sono al riparo dal ransomware. Esiste anche una variante di WannaCry che si propaga nei forum di gioco e colpisce i dispositivi Android in Cina. Dal momento che i dati possono essere facilmente ripristinati tramite la sincronizzazione dei dispositivi, spesso i criminali informatici preferiscono bloccare lo smartphone anziché limitarsi a crittare i file.

Ransomware per Mac

Anche se per infettare i dispositivi Apple non basta aprire un allegato email o fare clic su un collegamento, il ransomware per Mac è in piena espansione. Sembra che il più recente malware destinato ai Mac sia stato codificato da ingegneri software specializzati in OS X. I criminali informatici colpiscono spesso gli account iCloud o tentano di bloccare gli smartphone tramite il sistema Trova il mio iPhone.

Attacchi ransomware nel 2017

Con decine di toolkit malware disponibili nel mercato nero di Internet, gli hacker hanno un'ottima base di partenza. I più recenti attacchi hanno dimostrato che i criminali informatici si impegnano molto per migliorare il codice, aggiungere funzionalità che ostacolano il rilevamento e ottimizzare le email dannose per farle sembrare innocue.

Esaminiamo meglio i più grandi attacchi ransomware del 2017: WannaCry e Petna.

WannaCry

Dopo aver infettato più di 10.000 organizzazioni e 200.000 persone in oltre 150 paesi, WannaCry si è guadagnato il titolo di attacco ransomware più diffuso in assoluto. Si è avvalso di un exploit noto come ETERNALBLUE, che sfrutta una vulnerabilità SMB (Server Message Block, un protocollo per la condivisione file di rete) di Windows denominata MS17-010.I 10 paesi più colpiti da WannaCry

Petya

La più recente epidemia basata su Petya (altre denominazioni sono: Petya, Petna, NotPetya, EternalPetya o Nyetya) ha destato grande allerta, ma è stata molto meno dannosa rispetto a WannaCry. Petna ha colpito soprattutto l'Ucraina (con oltre il 90% degli attacchi), ma sono stati registrati tentativi di attacco anche in USA, Russia, Lituania, Bielorussia, Belgio e Brasile.

Altri due notevoli attacchi ransomware si sono verificati nel 2016:

  • Locky: apparso per la prima volta nel febbraio 2016, Locky è stato inviato a milioni di utenti di tutto il mondo tramite un tentativo di phishing via email dissimulato sotto forma di fattura o ricevuta di ordine. Questi messaggi email contenevano un documento Word illeggibile, richiedevano agli utenti di abilitare le macro per visualizzarne il contenuto e quindi avviavano il download del malware. Attacco dopo attacco, gli autori di Locky continuano a ottimizzare il codice per renderne più difficile il rilevamento nel computer.
  • Ransomware Cerber: questo malware si presenta sotto forma di toolkit, scaricabile gratuitamente per poi essere installato e diffuso. Viene distribuito tramite un allegato email o per mezzo di un collegamento del tipo Annulla iscrizione in un messaggio email di spam (che reindirizza le vittime allo stesso allegato). È in grado di agire anche se l'utente è offline e di crittare oltre 400 tipi di file, compresi i file di database.

Mentre gli hacker continuano a ottimizzare il codice, una di queste varianti potrebbe ricomparire in qualsiasi momento, quindi è importante sapere che ci sono anche se non fanno notizia.

Sei a rischio ransomware?

Quando si tratta di ransomware, tutti possono essere presi di mira. WannaCry, ad esempio, ha sfruttato una vulnerabilità Windows per diffondersi e infettare oltre 200.000 utenti e 10.000 aziende, enti pubblici e organizzazioni di tutto il mondo.

Chi non aveva installato la patch di sicurezza rilasciata a marzo da Microsoft era di fatto vulnerabile. Gli utenti Windows XP sono stati i più colpiti: Microsoft aveva interrotto il supporto di questa versione di Windows 3 anni fa, eppure ha provveduto a rilasciare una patch per quella versione quando l'attacco aveva già raggiunto da tempo un'entità preoccupante. Se esegui ancora questa versione, dovresti seriamente prendere in considerazione un upgrade.

Se per gli utenti standard ottenere una patch o un aggiornamento per la correzione di questi problemi è solitamente un'operazione semplice e veloce, aziende e organizzazioni sono di gran lunga più vulnerabili. Queste ultime eseguono spesso software personalizzato che verrebbe compromesso dagli aggiornamenti e devono distribuire le correzioni a un ampio numero di dispositivi, fattori che ne provocherebbero il rallentamento. Altre organizzazioni, invece, non hanno le possibilità economiche. I budget degli ospedali sono destinati a salvare vite, non computer, ma spesso le due cose possono coincidere quando i sistemi vengono colpiti e non è più possibile accedere alle anamnesi dei pazienti.

I crimini informatici sono la prima fonte di preoccupazione per le organizzazioni che trattano dati sensibili, ma questo non vuol dire che gli utenti standard dei PC sono al sicuro, perché anche le foto di famiglia o i file personali risultano interessanti per gli hacker.

In che modo il ransomware infetta i PC

Che si tratti di allegati email dannosi e collegamenti contraffatti o di tentativi di phishing presenti nei social media, il ransomware si diffonde in fretta e gli effetti sono devastanti. Ecco come accede al computer:

  • Ingegneria socialeuna locuzione elegante che serve a indurre gli utenti a scaricare il malware da un collegamento o un allegato contraffatto. I file dannosi si presentano spesso come normali documenti (conferme d'ordine, ricevute, fatture, avvisi) e sono apparentemente inviati da un istituto o un'azienda affidabile. È sufficiente scaricare uno di questi file nel PC, provare ad aprirlo e il danno è fatto. Il PC è infetto.
  • Malvertising: annunci a pagamento che veicolano ransomware, spyware, virus e altri elementi dannosi con un solo clic. Gli hacker possono addirittura spingersi ad acquistare spazi sui siti Web più utilizzati (compresi i social network o YouTube) per impadronirsi dei tuoi dati.
  • Kit di exploitcodice pre-compilato, sapientemente inserito in uno strumento di hackeraggio pronto all'uso. Come potrai immaginare, questi kit hanno l'obiettivo di sfruttare le vulnerabilità e le falle nella sicurezza causate da software non aggiornato.
  • Download indesideratifile pericolosi non richiesti dall'utente. Alcuni siti Web dannosi approfittano di app o browser non aggiornati per scaricare segretamente malware in background mentre esplori un sito Web apparentemente innocuo o guardi un video.

Come scoprire se sei stato infettato

Tutto potrebbe cominciare con un messaggio email a prima vista innocuo, potenzialmente inviato da un mittente legittimo, in cui ti viene richiesto di scaricare una fattura o un altro documento importante. Spesso gli hacker mascherano la vera estensione del file per far credere alle vittime che si tratti di un foglio di Excel o di un file PDF. In realtà si tratta di un file eseguibile che viene eseguito in background non appena fai clic.

Inizialmente non avviene niente di strano. I file rimangono accessibili e tutto continua a funzionare, apparentemente. Il malware, però, contatta a tua insaputa il server dell'hacker e genera una coppia di chiavi: una pubblica per crittare i file e una privata, memorizzata nel server dell'hacker, per decrittarli.

Quando il ransomware raggiunge il disco rigido, non hai molto tempo per salvare i dati. Da questo momento in poi, il tuo intervento non è più necessario. Il ransomware inizia a eseguire e crittare i file e si palesa solo dopo che il danno è fatto.

Viene visualizzata una nota di riscatto con l'importo da pagare e la modalità per il trasferimento di denaro. Dal momento dell'infezione, solitamente hai 72 ore per pagare il riscatto e se non rispetti la scadenza l'importo aumenta.

Nel frattempo non potrai aprire i file crittati e se provi ad aprirli verrà visualizzato un messaggio di errore che indica che il file non può essere caricato, è danneggiato o non valido.

Come rimuovere il ransomware

Se non ti è stato bloccato l'accesso al PC, eliminare il ransomware è piuttosto semplice. La procedura è uguale alla rimozione di un virus o un altro tipo di malware comune. Abbiamo illustrato come rimuovere tutti i tipi di malware in precedenza, ma ecco l'elemento principale: passando alla Modalità provvisoria puoi eseguire l'antivirus per eliminare il malware oppure rimuoverlo manualmente.

Come rimuovere il ransomware

Le cose si complicano leggermente se il PC è stato infettato da un locker, che impedisce di accedere a Windows o di eseguire i programmi. Esistono tre modi per risolvere il problema: eseguire un ripristino di sistema per ripristinare Windows a un momento in cui il PC era in stato ottimale, eseguire il programma antivirus da un disco di avvio o un'unità esterna o reinstallare il sistema operativo.

Provare AVG Internet Security gratuitamente

 

Ripristino di sistema in Windows 7:

  • Accendi il PC e premi F8 per accedere al menu Opzioni avanzate di avvio
  • Seleziona Ripristina il computer e premi INVIO
  • Accedi con la tua password e il nome dell'account Windows (o lascia vuoto il campo se non hai un account)
  • Fai clic su Ripristino di sistema

Ripristino di sistema in Windows 8, 8.1 o 10:

  • Accendi il PC e tieni premuto il tasto MAIUSC per accedere alle schermate di ripristino (esegui il riavvio se l'operazione non va a buon fine)
  • Seleziona Risoluzione dei problemi
  • Vai a Opzioni avanzate
  • Fai clic su Ripristino di sistema

Puoi anche utilizzare AVG PC Rescue CD per rimuovere in tutta sicurezza il ransomware da un'unità esterna. Il seguente video contiene istruzioni su come creare un'unità USB o un CD di ripristino AVG di avvio.

 

Come ripristinare i file

Il ripristino dei dati richiede una procedura completamente diversa. Il crittaggio a 32 e a 64 bit è facilmente violabile. I nostri strumenti gratuiti per il decrittaggio del ransomware consentono di ripristinare i file infettati dai tipi più innocui di ransomware, come Apocalypse, Crypt888 o TeslaCrypt.

Attualmente, tuttavia, gran parte delle tipologie di ransomware, inclusi i noti WannaCry, Locky o Cerber, usa il crittaggio a 128 bit o addirittura a 256 bit (a volte una combinazione di entrambi). Questo complesso livello di crittaggio viene utilizzato anche da server, browser e VPN per proteggere i dati, in quanto sicuro e inviolabile.

Se i file vengono infettati da una di queste varianti più dannose, il ripristino è quasi impossibile. Per questo motivo la prevenzione è la strategia migliore da adottare per proteggersi dal ransomware.

Consigli per la prevenzione del ransomware

Oltre a evitare collegamenti o siti Web sospetti, spam e allegati email inaspettati, sostanzialmente le operazioni per non perdere i file durante il successivo attacco ransomware sono tre.

1. Esegui il backup dei file importanti

Su unità esterne. O nel cloud. O in entrambi. Davanti a una gamma così vasta di servizi gratuiti per l'archiviazione nel cloud, non ci sono scuse. Dropbox, Google Drive, Mega… fai la tua scelta e provvedi a mettere in sicurezza tutte le tue foto e i tuoi documenti importanti. Per essere ancora più sicuro, scegli un servizio dotato di cronologia delle versioni. In questo modo, se dovessero verificarsi problemi con il tuo account, potrai ripristinare senza problemi una versione precedente.

Diagramma di una cartella sottoposta a backup in diversi servizi cloud

2. Usa una soluzione antivirus aggiornata

Il software antivirus offre una protezione essenziale da tutti gli elementi che tentano di compromettere il computer. Non per vantarci, ma la nostra soluzione AVG AntiVirus FREE offre una protezione che supera le aspettative. Con AVG Internet Security puoi ottenere anche la protezione dal ransomware, che impedisce alle app sospette di modificare i file.

3. Mantieni aggiornato il sistema operativo

Come accennato in precedenza parlando di WannaCry, gli aggiornamenti per la sicurezza sono fondamentali per la protezione del computer. Un software obsoleto ti rende più vulnerabile a tutti i tipi di malware, compreso il ransomware.

Pagare o non pagare il riscatto?

A questo punto forse ti sarai già posto la domanda tanto temuta. Data la natura minacciosa del malware, non c'è da stupirsi.

Gli hacker non fanno discriminazioni. Il loro unico obiettivo è infettare il maggior numero di computer possibile, perché questa è la loro fonte di guadagno. Si tratta anche di un'attività molto proficua, grazie alle centinaia di migliaia di dollari pagati dalle vittime per recuperare i propri dati.

Nel giugno 2017 l'azienda sudcoreana di hosting Web Nayana ha pagato 397,6 bitcoin (pari a circa 1 milione di dollari in base alla valuta di allora) in seguito a un attacco ransomware Erebus. Si tratta del riscatto più alto mai pagato finora e dimostra quanto siano vulnerabili le aziende.

Ma quando si ha a che fare con gli scammer, il pagamento del riscatto non è una garanzia. A volte aumentano l'importo richiesto, se trovano chi è talmente disperato da essere disposto a pagare. Prendiamo ad esempio Petya: il ransomware aveva un bug nel codice che rendeva impossibile qualsiasi forma di ripristino. Ma soprattutto, il pagamento incita gli hacker a ripresentarsi, colpire in modo ancora più violento e chiedere somme più elevate.

In definitiva, è giusto pagare? La nostra risposta è "assolutamente no". Procurati piuttosto un buon antivirus, per non doverti preoccupare minimamente del ransomware.

Provare AVG Internet Security gratuitamente

 

AVG Internet Security Provalo GRATIS