fbpx

Ransomware: i virus che criptano i dati e ti ricattano! – Seconda parte

Oggi torniamo a parlarvi di Ransomware, i temuti virus che criptano i dischi. Se vi siete persi la prima parte potete leggerla a questo indirizzo:

I sintomi

Nel post precedente avevamo sottolineato che molto spesso ci si accorge di essere caduti vittima di questi virus quando oramai i danni sono molto ingenti e tutti (o buona parte) dei dati sono irrimediabilmente criptati. Può accadere ad esempio, che di punto in bianco lo sfondo del desktop non sia quello che abitualmente abbiamo davanti agli occhi, ma che diventi completamente nero con vistose scritte di colore rosse o gialle che ti avvertono che i tuoi file sono stati criptati o il tuo computer è stato bloccato.

Nella realtà un minimo d’attenzione ed un po’ di consapevolezza nei confronti del fenomeno possono aiutare a contenere anche di molto i danni. Molto spesso infatti, gli utenti cascati vittima di questi malware, riportano di aver notato alcune anomalie già parecchio tempo prima. Agire per tempo con i dovuti accorgimenti può fare la differenza tra tutti i file criptati o solo una piccola parte.

Un infezione in corso manifesta alcuni sintomi, talora molto espliciti e che lasciano pochi dubbi, altri più sottili e che richiedono verifiche ulteriori. Ecco quindi alcuni importanti campanelli d’allarme.

  1. I file non si aprono o risultano corrotti. Questo è il re di tutti i sintomi ed anche il più evidente. Verificate immediatamente a campione, tre le vostre immagini e foto o tra i vostri documenti e accertatevi se si tratta di un caso isolato o di qualcosa di più esteso. Se molti file risultano non più accessibili, la diagnosi è quasi certamente confermata.
  2. Lo sfondo del desktop è scomparso. Non sempre appare un messaggio esplicito che vi segnala che i file sono stati criptati. O meglio non è detto che appaia immediatamente. Talvolta sparisce l’immagine che normalmente abbiamo sullo sfondo. La spiegazione potrebbe essere legata al fatto che l’immagine che avevate come sfondo sia stata criptata.
  3. Alcuni programmi hanno comportamenti bizzarri o non si avviano. Non bisogna immaginare grandi malfunzionamenti. Piccole cose che cessano di funzionare o che danno strani errori. Inoltre alcuni ransomware inibiscono completamente il funzionamento di importanti strumenti di analisi come il Task Manager, il prompt dei comandi, l’editor del registro di sistema o i software di monitoraggio della rete.
  4. Intensa attività dell’Hard Disk. Sintomo molto indicativo, soprattutto quando non si stanno eseguendo operazioni che giustificano grosse attività. E’ possibile verificarlo alttraverso l’indicatore luminoso sul cabinet del proprio computer.
  5. Intensa attività della rete. Quanto detto al punto precedente è valido anche per la rete. Va ricordato infatti che i ransomware più evoluti sono in grado di estendere la loro attività rapidamente anche alle risorse di rete. I fileserver o i NAS ad esempio sono i primi ad essere esposti dopo la propria postazione

Come comportarsi in caso di infezione

E’ lecito domandarsi a questo punto che cosa fare in caso di infezione. A causa dell’elevato numero di versioni di ransomware in circolazione non esiste un modo specifico, ma ci sono alcune operazioni di carattere generale che possono andare bene nella maggioranza dei casi. Le operazioni da eseguire possono non essere sempre alla portata di tutti quindi suggeriamo di non avventurarsi se non si è sicuri di ciò che si fa. In questo caso ci si limiti a spegnere immediatamente il computer e contattare qualcuno che vi possa assistere.

Se avete già un antivirus installato è buona idea eseguire da subito un aggiornamento delle firme del database. Questo è un aspetto molto importante poichè gli antivirus più efficienti eseguono subito dopo l’aggiornamento una scansione della memoria operativa con buone probabilità che già in questa fase il problema possa risolversi. Se così non fosse spegnete immediatamente il PC.

A questo punto da un computer pulito e sicuro ed in aggiunta a quanto già detto, scaricate su una pen drive alcuni tools utili alla vostra causa come Combofix o Malwarebyte per aumentare le probabilità di individuare del malware ed una copia di ccleaner per la rimozione dei file temporanei.

E’ possibile anche utilizzare soluzioni più pulite e sicure che prevendono l’impiego di strumenti di pulizia indipendenti basati su CD/DVD/USB come ad esempio ESET SYSRESCUE LIVE che una volta avviati hanno il grande vantaggio di lavorare in un ambiente autonomo dal sistema operativo ma avendo accesso completo al disco e tutti i suoi file. Questi sistemi tendono ad essere particolarmente adatti in tutti i quei casi dove una pulizia del sistema in condizioni normali è impossibile.

Non ho un backup, come recupero i file criptati ?

E’ bene fare da subito chiarezza: le tecniche e il tipo di crittografia utilizzata fanno si che il recupero dei file criptati è possibile solo in pochi casi e ben circoscritti. Se avete individuato il tipo di ransomware nella quale siete incappati potreste verificare se è possibile decriptare i file. Ad oggi infatti è esistono appositi tools di decriptazione e/o servizi a pagamento per le seguenti varianti:

CryptoXXX / TeslaCrypt / CoinVault / CryptoDefense / Cryptorbit / PClock / TorrentLocker / Randamant

Se invece il vostro caso non rientra in quelli sopracitati potreste verificare l’esistenza delle cosiddette shadows copy. Si tratta di copie nascoste di file gestite autonomamente dal sistema operativo. E’ importante però sottolineare che è il metodo con meno successo poichè le versioni più avanzate di ransomware sono in grado di disattivare questa funzione. Vale comunque la pena verificarne l’esistenza attraverso dei strumenti ad hoc quali ShadowExplorer oppure Shadow Copy Viewer.

Vogliamo spendere due parole anche sulla questione del pagamento del riscatto, che in molti valutano anche in considerazione delle cifre (non esose) richieste. Noi sconsigliamo il pagamento per 2 ordini di motivi ben precisi:

  1. non c’è sempre garanzia che tutto vada per il meglio. I vostri dati potrebbero essere restituiti oppure no.
  2. pagando si finanzia indirettamente questo mercato illegale permettendogli di crescere e proliferare.

Come prevenire evitando di diventare una vittima

Lo diceva anche un famoso slogan pubblicitario: prevenire è meglio che curare e potete stare sicuri che è proprio così che stanno le cose. Che siate privati cittadini o un azienda c’è sempre da perdere e talvolta anche in modo pesante. Potreste dire addio a tutti i vostri più cari ricordi oppure al corposo archivio di file che ruotano intorno al lavoro aziendale. Ecco di seguito i nostri suggerimenti per ridurre al minimo i rischi.

  1. Prestate attenzione alla mail che ricevete. La posta elettronica è lo strumento di elezione per veicolare questo tipo di malware grazie a delle campagne ad hoc di phising e social engineering. Diffidate delle mail non attese contenenti bollette elettriche e/o telefoniche, soprattutto se non sono del proprio operatore, così come quelle legate ai corrieri espressi. Nel dubbio verificate i link alla quale i collegamenti portano. Così come è meglio tenersi alla larga dalle mail provenienti da se stessi oppure da quelle provenienti da persone conosciute ma con testo in inglese o in in un pessimo italiano.
  2. Fate backup offline regolarmente. Fare backup è sempre stata una cosa di primaria importanza. Con questo tipo di malware in circolazione lo diventa ancora di più. Salvate con regolarità una copia dei vostri file su dispositivi esterni (dischi, chiavette, nastri) e conservateli disconnessi dal computer. Nel caso si dovesse cadere vittima di un ransomware il danno sarebbe minimo.
  3. Sistemi operativi e programmi sempre aggiornati. Assicuratevi che il vostro sistema riceva regolarmente le patch di sicurezza e che lo stesso valga per i programmi installati. Un sistema non aggiornato è potenzialmente vulnerabile.
  4. Dotatevi di un suite per la sicurezza. E’ la più importante delle prerogative per chi voglia ridurre al minimo i rischi. Un prodotto completo di antivirus, antiphising, antirootkit e antistealth in grado di intercettare le minacce più diffuse e pericolose che circolano sul web con tempestivita e precisione. Contattateci per un consulto in merito.

Ransomware: i virus che criptano i dati e ti ricattano! – Prima parte

Alzi la mano chi ancora non ha sentito, tra amici e conoscenti, la vicenda di qualcuno che è stato infettato con un virus che ha criptato tutti i dati. Partendo da questa affermazione, oggi vogliamo parlare Ransomware, una tipologia di virus sempre più diffusa che da qualche tempo sta facendo tremare la sicurezza dei computer di tutto il pianeta.

Sebbene la primissima versione (nome in codice PC Cyborg Trojan) risalga a quasi 30 anni fa, e solo negli ultimi anni che la loro diffusione si è fatta sempre più ampia e costante. Basti pensare che nel 2011 erano circa 60.000 i ransomware in circolazione mentre, numeri alla mano, il 2015 si è chiuso quasi a quota 750.000 (fonte McAfee Labs).

I motivi che hanno portato questa tipologia di malware ad essere la più amata tra i cybercriminali sono molteplici. Innanzitutto sono piuttosto semplici da sviluppare e dimostrano una grande versatilità grazie al quale sono stati costantemente migliorati nel corso del tempo. Inoltre per loro natura riescono molto spesso ad eludere Antivirus e Firewall.

 

Uno sguardo sul funzionamento

teslacrypt

Finire vittima di questo tipo di malware non è per niente complicato. Generalmente l’infezione inizia facendo clic su un collegamento o allegato contenuto in una mail oppure visitando un sito fraudolento che cela dietro le quinte del codice malevolo. A questo punto l’eseguibile avviato esegue una scansione del disco e delle unita di rete ed inizia silenziosamente – e molto rapidamente – a criptare i file. Allo stesso tempo, con un abile mossa ricattatoria, verrà richiesto un riscatto per poter ritornare in possesso dei propri file. E dal momento che le cifre richieste sono abbastanza basse (si va da 300 a 500 Euro) non sono pochi coloro che pagano per ritornare in possesso dei file. Ed è evidente che questo aspetto alimenta ulteriormente il problema.

Purtroppo, quando ci si accorge del problema i danni sono già ingenti. La tecnica utilizzata per crittografare i file è molto avanzata. Si tratta di una forma di crittografia assimetrica con due chiavi di decriptazione. Una parte della chiave viene memorizzata sul server dell’aggressore rendendo quindi il recupero dei file un’operazione molto difficile se non addirittura impossibile.

 

 

In principio fu Cryptolocker

Come abbia già avuto modo di vedere, questo tipo di Malware è molto semplice da sviluppare. Nel giro di brevissimo tempo infatti hanno visto la luce molte altre versioni, più evolute ed efficienti. Eccone una sintesi delle più importanti:

 

Anno 2017
  • NotPetya
  • PopCorn
  • WannaCry
  • Locky
  • CrySys
Anno 2018
  • TSMC variante di WannaCry
  • Sodinokibi
  • RYUK
  • SamSam
  • Bad Rabbit
Anno 2019
  • RYUK
  • REvil
  • LockerGoga
  • RobbinHood
  • FTcode

 

Come difendersi

Nel prossimo post vedremo quali precauzioni assumere per evitare una potenziale infezione, come comportarsi in caso di infezione ed in quali casi e possibile recuperare i file. Continuate a seguici…l’appuntamento è per la seconda parte !

 

Hai bisogno di un consulto su una possibile infezione da rasonware o vuoi informazioni sui nostri prodotti per la sicurezza informatica ? contattaci per informazioni

Nuovo sito web

Siamo lieti di presentare il nostro nuovo sito web, rinnovato completamente nella veste grafica e nei contenuti. Ora disponibile anche in versione ottimizzata per dipositivi mobili come tablet e smartphone.

Buona navigazione a tutti quanti.