Ransomware (guida): cos'è e come difendersi dagli attacchi

Tra i numerosi malware che possono infettare il computer il più temuto è sicuramente il ransomware, una categoria talmente pericolosa da necessitare di un modulo specifico (inserito in tutti i moderni antivirus) per poter essere contrastato efficacemente (l’anti ransomware appunto). Ma come ha fatto questo malware a scavalcare in poco tempo la pericolosità (già alta) di altre tipologie di malware come trojan e worm?

Nei capitolo che seguono è possibile trovare tutte le risposte che cerchiamo: conosceremo da vicino cos’è un ransomware, quali sono gli attacchi ransomware più famosi, quali sono le insidie durante un’infezione da ransomware e cosa possiamo fare per difenderci e per debellare questa minaccia.

Cosa sono i ransomware

I ransomware sono una categoria di malware estremamente subdola, perché per portare a termine la sua missione agisce su più livelli.

Come è facile immaginare questo malware deve la sua triste fama non all’infezione in sé (alla fine è solo una schermata che blocca il PC, esattamente come molti trojan) ma alla cifratura dei documenti aziendali, che può mettere in crisi mesi e mesi di lavoro all’interno di un’azienda o di un ufficio, rallentare la produttività e mettere a repentaglio informazioni vitali per la vita stessa dell’impresa (specie se non è stata realizzata nessuna copia dei file cifrati).

In ambito domestico un’infezione da ransomware non è meno pericolosa, visto che in pochi secondi è possibile perdere ricordi personali, fotografie importanti, documenti di lavoro, tesine e quant’altro salvato nelle cartelle personali del PC.

Molti utenti, pur di non perdere i file cifrati, hanno corso il rischio e hanno seguito le istruzioni per sbloccare il ransomware: questo è probabilmente la strada peggiore da seguire, visto che non c’è nessuna certezza sull’effettiva consegna della chiave di sblocco e sulla sua reale efficacia, oltre a consegnare ai pirati informatici nuove risorse per creare nuovi malware e nuovi ransomware ancora più potenti e pericolosi.

Esempi di ransomware famosi

Di virus del ricatto è piena la storia informatica recente, basti pensare che in Italia quasi tutti quelli che usano il PC regolarmente conoscono bene il “virus della Polizia Postale” con tutte le sue sotto-varianti che coinvolgono Guardia di Finanza, Polizia di stato, Polizia Penitenziaria e Carabinieri.

Questa categoria di malware mostrano schermate di blocco tradotte in italiano (spesso elementare e pieno di errori), presunte leggi del codice civile e penale, foto di politici o istituzioni e metodi di pagamento utilizzabili in Italia per lo sblocco.

Queste schermate vengono realizzate su misura per enfatizzare la paura degli infetti e far aumentare le probabilità di pagamento, anche grazie all’uso di loghi ufficiali di corpi di polizia, istituzioni e persone che nulla hanno a che fare con i malware.

Può capitare di imbattersi anche in ransomware stranieri, in cui a minacciare azioni legali è l’FBI, la CIA o l’NSA: queste agenzie governative statunitensi non c’entrano nulla con i malware, ma i loro loghi possono essere sufficienti per spaventare qualche utente alle prime armi.

I ransomware più potenti e aggiornati cifrano tutto quello che trovano sul disco, mostrano una finestra di ricatto semplice (paga o perderai tutto) e chiedono il pagamento del riscatto in Bitcoin: rientrano in questa categoria malware molto famosi come WannaCry, CryptoLocker e CryptoWall, che tanti danni hanno causato in giro per il mondo prima di essere identificati e bloccati.

Come agisce in genere un ransomware

Mentre i virus tradizionali (trojan e worm) avevano come scopo la distruzione del sistema informatico infetto, il recupero illecito di dati personali o la replicazione rapida, il ransomware si presenta con caratteristiche molto precise:

• si apre automaticamente: questo tipo di infezione spesso viene avviata senza interazione dell’utente, basta aprire la pagina web infetta o una email modificata per far partire l’infezione;
• blocca l’accesso alle funzioni del PC: il sistema non è più utilizzabile, i programmi non partono più e il desktop viene sostituito da una schermata a tutto schermo (impossibile da chiudere) che avvisa dell’infezione e dei metodi per sbloccare la situazione;
• cripta i file personali: la parte più drammatica dell’infezione, visto che i ransomware sono in grado di cifrare le cartelle e i file personali, diventando inaccessibili senza la chiave di sblocco (spesso restano cifrati e inaccessibili anche dopo aver debellato l’infezione principale);
• estorce denaro ai malcapitati: nella finestra di blocco viene visualizzato un avviso a tempo sulla distruzione della chiave di sblocco e cosa è necessario fare per ottenere questa fatidica chiave.

La parte più pericolosa è ovviamente la cifratura dei file o delle cartelle, che può riguardare solo le cartelle personali più famose (Documenti, Immagini, Video) o l’intero disco fisso (per le varianti più potenti).

Le case produttrici di antivirus hanno dovuto agire su due livelli per poter debellare completamente una qualsiasi infezione ransomware: impedire al malware di cifrare i file e fornire un tool di sblocco (gratuito) per decifrare i file e le cartelle finite vittime del ransomware.

Di tutta risposta i pirati informatici (creatori dei ransomware) hanno realizzato aggiornamenti che li hanno reso i nuovi ransomware estremamente difficili da decifrare: ancora oggi è possibile infettarsi con varianti di questo malware con algoritmi talmente potenti da non poter essere a loro volta violati e recuperati, facendo correre il rischio di perdere i propri dati per sempre.

Come si diffonde un attacco ransomware

Un attacco malware di questo tipo può diffondersi in svariati modi, dal più scontato al più insospettabile:

• tramite file infetti: l’infezione parte dopo aver scaricato ed eseguito file sconosciuti da Internet (spesso tramite reti P2P), con il malware nascosto al suo interno;
• tramite allegati di posta elettronica: in questo caso l’infezione può partire sia dopo aver aperto l’allegato sia alla semplice apertura dell’email;
• tramite link infetti: l’infezione si propaga dopo aver aperto un link all’interno delle email o inviato tramite social, messaggi di testo o messaggi WhatsApp;
• tramite siti modificati: un metodo molto subdolo e difficile da individuare, visto che il malware è ben nascosto all’interno della pagina web e si attiva non appena il caricamento della pagina è terminato, senza nessuna interazione da parte dell’utente.

Spesso i link o gli allegati infetti possono arrivare anche da persone note o da persone di cui ci fidiamo: conviene sempre prestare la massima attenzione in ogni caso, visto che possono essere a loro volta vittime del ransomware (che in alcuni casi presentano anche anche caratteristiche di replicazione tramite email o app di messaggistica).

Le vittime target degli attacchi ransomware

Il principale obiettivo dei ransomware sono i PC aziendali o i computer assegnati come postazioni lavorative: questi scenari che attirano maggiormente i pirati informatici, visto che sono molto alte le probabilità che qualcuno paghi il riscatto pur di riavere indietro i preziosi file aziendali cifrati dal malware.

Anche i PC domestici sono a forte rischio, ma in questo caso le probabilità di pagamento sono molto basse, a meno di non colpire un computer su cui l’ignaro utente lavora da remoto o su cui custodisce dei file aziendali molto importanti.

Lo scopo di questi malware è ricattare gli utenti infettati e fare soldi facili, ma i ransomware possono essere utilizzati anche per diffondere infezioni di tipo trojan, recuperare informazioni aziendali e segreti industriali (i file cifrati possono essere caricati in cloud senza il nostro consenso), recuperare credenziali d’accesso ai servizi e danneggiare una rete di computer per conto di persone terze.

Come difendersi dai ransomware

Per poter contrastare efficacemente un ransomware non è sufficiente un antivirus gratuito o un antivirus con funzioni basilari: spesso questi prodotti non presentano gli strumenti per impedire la cifratura dei file personali, che è lo scopo principale di ogni prodotto che si vanta di poter proteggere da questo tipo di malware.

Per fermare efficacemente un ransomware è necessario scegliere un antivirus con un modulo anti-ransomware dedicato, un modulo di euristica avanzata, un modulo di scansione cloud e protezione dedicata per browser e client email.

Antivirus e altri sistemi di protezione

Per proteggere efficacemente il computer dai ransomware è preferibile installare una suite di sicurezza completa ed efficiente come Norton 360 Deluxe.

Installando questa suite sul PC è possibile beneficiare di una protezione multi livello contro qualsiasi tipo di malware, inclusi i temuti ransomware. Scegliendo Norton 360 Deluxe come sistema di sicurezza per il computer otterremo:

• sicurezza avanzata con antivirus: l’efficace motore di scansione e il modulo attivo in memoria aiutano a proteggere dalle minacce online esistenti ed emergenti, oltre a preservare le informazioni riservate;
• backup PC nel cloud: probabilmente lo strumento più efficace contro i ransomware, visto che salva le cartelle personali su un cloud sicuro e non accessibile da nessun programma esterno, così da poter sempre recuperare i file personali eventualmente cifrati da un malware;
• Smart firewall: strumento molto efficace per bloccare la propagazione dei malware e per impedire ai ransomware di comunicare con l’esterno o di inviare dati verso il creatore del virus;
• promessa protezione virus: gli esperti Norton sono a disposizione per aiutare a rimuovere qualsiasi malware, inclusi i pericolosi ransomware, aiutandoti anche nell’eventuale decifratura dei file compromessi;
• Secure VPN: per evitare che qualcuno possa intrufolarsi nel PC quando navighiamo su una rete pubblica conviene utilizzare una VPN veloce e sicura, come quella offerta da Norton.

A queste caratteristiche si aggiungono anche il modulo di protezione della webcam, il parental control, il monitoraggio del Dark Web e la possibilità di installare la protezione su 5 dispositivi diversi.

Norton 360 Deluxe è disponibile a 34,99 € per il primo anno, al termine del quale il prezzo passerà a 94,99 € all’anno. Per una protezione più durevole a prezzo scontato è possibile optare per l’abbonamento a Norton 360 Deluxe per due anni, al prezzo di 79,99 € all’anno; al termine dei due anni, il prezzo dell’abbonamento passerà a 94,99 € all’anno.

Inoltre, è possibile testare la suite scaricando la prova gratuita di Norton 360 Deluxe (valida 14 giorni e scaricabile dall’apposita sezione del sito ufficiale), al termine della quale l’utente potrà decidere di abbonarsi al servizio.

Prevenzione: cosa fare e cosa non fare

Oltre a scegliere un buon antivirus è necessario seguire alcune semplici regole di sicurezza per evitare l’infezione da ransomware (prevenire è sempre meglio che curare!). Le raccomandazioni per questa tipologia di malware sono:

• evitiamo di aprire link sospetti o di cui non conosciamo la fonte;
• non scarichiamo eseguibili o file compressi dalle reti P2P;
• utilizziamo solo i siti ufficiali o il Microsoft Store per scaricare i programmi;
• scegliamo un client di posta elettronica dotato di moduli di sicurezza (come per esempio Microsoft Outlook o, come alternativa gratuita, Thunderbird);
• manteniamo il sistema operativo e i programmi installati sempre aggiornati all’ultima versione;
• non apriamo gli allegati email da persone che non conosciamo o di cui non riusciamo a recuperare l’indirizzo di origine;
• scansioniamo periodicamente il PC con l’antivirus scelto come sistema di protezione;
• evitiamo di aprire siti con troppi annunci pop-up o con link nascosti all’interno delle immagini:
• utilizziamo un browser sicuro e aggiornato come Google Chrome o Microsoft Edge.

Seguendo questi semplici consigli è possibile evitare la stragrande maggioranza delle infezioni odierne e daremo un deciso taglio alle possibilità di infettarci con un pericolo ransomware.

Come comportarsi se si è vittima di un attacco ransomware

Se nonostante tutte le nostre precauzioni il ransomware è riuscito ad attivarsi e a cifrare i file, non dobbiamo farci prendere dal panico e non dobbiamo cedere al ricatto mostrato sullo schermo. Con le giuste strategie è possibile pulire il PC dall’infezione e recuperare i file cifrati, ma il tempismo in questi casi è fondamentale.

Per prima cosa spegniamo il PC il prima possibile: questo impedirà al ransomware di cifrare altri file personali o di cifrare tutto il disco. Dopo aver spento il PC procuriamoci una distribuzione GNU/Linux, salviamo il sistema scelto su una chiavetta USB e avviamola sul computer infettato, in modo da poter recuperare i file non ancora cifrati.

Dopo aver recuperato i file dal disco principale è possibile avviare il processo di pulizia vero e proprio: per questa fase è indispensabile disporre di un PC Windows senza infezioni, su cui scaricare Norton Bootable Recovery Tool.

Scaricando questo tool potremo creare dischi di ripristino DVD o USB da utilizzare successivamente sul computer infetto, così da poter cancellare ogni traccia dell’infezione. Per i file cifrati è sufficiente recuperare il backup cloud di Norton e ripristinare i file cifrati sul PC appena pulito dall’infezione.

Se non avevamo nessun backup dei file cifrati è possibile provare a caricare i file compromessi sul sito No more Ransom, in modo da poter recuperare un decifratore specifico per il tipo di malware che ha attaccato il nostro sistema.

I ransomware oggi: l’evoluzione tecnologica

Anche i pericolosi ransomware vengono aggiornati e diventano via via sempre più complessi e difficili da bloccare: ormai quasi tutti utilizzano la cifratura AES-256 per la cifratura, rendendo di fatto impossibile il recupero dei file cifrati senza la chiave in possesso del pirata informatico.

Una nuova evoluzione dei ransomware è il Doppio ricatto, tipico del ransomware Maze: se malauguratamente dovessimo finire vittime di questo malware è possibile subire un doppio ricatto da parte dei pirati informatici che hanno la chiave di sblocco (come tutti gli altri ransomware) e da parte di altri malintenzionati in possesso dei dati cifrati recuperati sul Dark Web: anche questi ultimi chiedono un secondo riscatto in denaro per evitare che i dati (spesso informazioni sensibili, fotografie compromettenti e dati aziendali) diventino di pubblico dominio.

Conclusioni

I ransomware sono probabilmente la categoria di malware più utilizzata dai pirati informatici negli ultimi 15 anni, visto che portano innumerevoli vantaggi dal punto di vista economico, causano danni (spesso irreversibili) ai dati personali e possono essere utilizzati contro qualsiasi obiettivo per recuperare informazioni personali, bloccare la produttività aziendale e ricattare persone insospettabili.

Difenderci da questo tipo di malware è possibile ma dovremo per forza di cose scegliere un antivirus premium come Norton 360 Deluxe, uno dei pochi a combinare l’efficacia dell’azione antivirus (contro il malware) alle contromisure necessarie (Norton Backup) per gli effetti secondari dell’infezione (cifratura dei file personali).

Domande frequenti sui Ransomware

Cosa sono i ransomware e cosa fanno?

I ransomware sono malware pensati per infettare i dispositivi e cifrare i file custoditi nelle cartelle personali. Sono molto pericolosi e possono essere difficili da debellare, specie se riescono a cifrare tutto il disco con un algoritmo di cifratura forte (AES-256).

Come avviene un attacco ransomware?

I ransomware si propagano tramite email, link, siti infetti, crack e file eseguibili modificati e una volta avviati, bloccano il sistema con una schermata specifica in cui sono presenti le informazioni per sbloccare i file (tramite pagamento di un riscatto).

Anche dopo aver debellato l’infezione è necessario decifrare i file colpiti da questo malware e non sempre la soluzione è immediata, specie con i ransomware di nuova generazione.

Come si manifesta un ransomware?

Un ransomware si manifesta con una schermata a tutto schermo che blocca il desktop e non può essere chiusa in nessun modo: esso è il tratto distintivo di ogni infezione di questo tipo, anche se ogni malware ha la sua schermata di blocco specifica (e spesso personalizzata in base al paese d’origine del PC infettato).

Quali sono i ransomware della Polizia?

In Italia sono molto famosi i “virus della Polizia”, dei ransomware semplici che utilizzano i loghi e le scritte di organi di polizia italiani per spaventare gli utenti e convincerli a pagare. Questi malware si sono evoluti nel tempo e ora richiedono il riscatto in Bitcoin, oltre ad rendere difficile la decifrazione dei file compromessi.

Cosa bisogna fare se si è vittima di un attacco ransomware?

Per prima cosa spegniamo il computer per evitare che il malware cifri troppi file personali, quindi procediamo da ambiente di ripristino (tramite distribuzione Linux o CD di recupero di Norton) per pulire il sistema dall’infezione. Per i file cifrati utilizziamo il backup di Norton o carichiamo i file compromessi sul sito No more Ransom per identificare un tool di decifratura efficace contro il ransomware che ci ha colpito.