Un ransomware è un tipo di malware molto insidioso: quando si viene infettati tutto il nostro hard disk viene criptato, rendendo inutilizzabile il nostro computer. In pratica, subiamo un sequestro di tutti i nostri file e l’unico modo (apparente) per eliminare il ransomware è quello di seguire delle istruzioni su schermo per pagare un “riscatto”.

 

Esatto, perché il ransomware non è altro che un’estorsione: un gruppo di malintenzionati riesce a infettare il nostro computer (nelle modalità che mostreremo successivamente), bloccandoci tutti i nostri dati, documenti, foto, applicazioni. Il contenuto dell’hard disk viene criptato e solamente i malintenzionati possiedono la chiave per decriptare i file e quindi rimuovere il ransomware.

 

Non pensate che si tratti di un problema legato solo a computer di utenti privati, perché i ransomware colpiscono anche intere aziende, industrie o enti governativi. Uno dei più recenti attacchi ransomware riguarda Luxottica, a dimostrazione che questa tipologia di attacchi informatici viene portata avanti da organizzazioni criminali in modo sistemico e mirato.

ransomware

PC infettato da ransomware: come avviene e come rimuovere un ransomware?

Quando si viene infettati da un malware del genere, la prima preoccupazione degli utenti è quella di proteggere i dati personali che sono stati bloccati. E quindi pagare il ransomware pur di riaverli subito. Ma non tutto è rose e fiori come vedremo. Innanzitutto, è bene capire come si viene infettati da un ransomware.

Privati o aziende, tutti dovrebbero investire sulla sicurezza digitale. Specialmente perché tutti utilizziamo un indirizzo email per lavoro per uso personale. E proprio tramite email arriva principalmente la minaccia del ransomware. Circa il 75% di tutti gli attacchi ransomware avvengono via email di phishing.

Una azienda potrebbe ricevere una finta email da una ditta di spedizione o da un potenziale cliente interessato ai loro prodotti/servizi. Un utente privato potrebbe ricevere una finta email da un servizio online molto usato in rete, dove probabilmente anche l’utente in questione dispone di un account.

Il phishing si basa sull’ingegneria sociale: trovare un modo per convincere la persona dall’altro lato dello schermo ad aprire una email, e soprattutto, a cliccare su un file da scaricare sul PC. E nel file si nasconde proprio il ransomware. Possedere quindi un indirizzo email da un provider sicuro, un filtro anti-spam e anche un antivirus sempre aggiornato, sono alcuni dei rimedi base per prevenire attacchi del genere.

In altri casi invece, il ransomware viene scaricato all’interno di altri software. A volte perché si scaricano software da siti poco raccomandabili, altre volte perché i malintenzionati sono riusciti a sfruttare una vulnerabilità di un sito affidabile, dove però cliccando sul processo di download, poi però si viene rimandati ad una pagina creata dai malintenzionati (dove si finirà con lo scaricare il ransomware).

 

Pagare un ransomware o rifiutare: la spiegazione

Ma se ormai il danno è stato fatto e ci troviamo colpiti da questo malware che ha criptato tutti i nostri file, dobbiamo pagare un ransomware per riavere il nostro hard disk indietro? Nel nostro paese è un problema molto sentito: l’Italia è il secondo paese più colpito da ransomware in Europa.

 

I malintenzionati progettano con cura i ransomware: tutto si basa sul senso di urgenza e un pizzico di ingegneria sociale. Di solito infatti:

 

  • Il Ransomware crea un senso di urgenza: sulla schermata che ci appare davanti, spesso è presente un countdown. Ci viene detto che se entro X giorni (di solito massimo 1 settimana) non paghiamo una determinata cifra (dai 300 ai 600 EUR in media) in Bitcoin, perderemo per sempre tutti i file
  • La schermata di spiegazione è estremamente dettagliata: di solito i malintenzionati scrivono per filo e per segno tutte le istruzioni da compiere, per “aiutare” anche le persone che hanno meno dimestichezza con i PC e con i pagamenti in criptovalute (l’unico modo per rendere i pagamenti anonimo e non tracciabili)
  • Vengono inventate storie per giustificare l’attacco: i ransomware più “sofisticati”, a livello di ingegneria sociale, dedicano una parte della schermata per “spiegare” il motivo dell’attacco. Un ransomware dal nome di “PopCorn”, affermava di essere stato sviluppato da un gruppo di studenti siriani che avevano bisogno di soldi per sostenere le loro famiglie durante la guerra, e “assicuravano” gli utenti che i soldi pagati sarebbero servito solo per fare opere di bene

 

In caso siamo una vittima di ransomware, cosa dobbiamo fare? Rivolgerci alla Polizia Postale è sicuramente una buona idea, ma sfortunatamente anche le autorità possono fare davvero poco in casi del genere. È sempre bene però sporgere denuncia e informare le autorità, per mettere in moto le indagini (e potenzialmente risolvere, in futuro, il problema per altri utenti infetti).

Ma per quanto riguarda il nostro PC infettato da ransomware, un consiglio è visitare il seguente sito contro malware, creato dalla collaborazione della Polizia Olandese con l’Europol e due azienda di sicurezza informatica, Kaspersky Lab e McAfee.

Il sito si chiama “No More Ransom!” e sono presenti istruzioni dettagliate per rimuovere ransomware dal proprio PC, oltre a programmi di “decrypt” per trovare la chiave dei file cifrati e risolvere così il problema. Non tutti i ransomware però hanno una soluzione così semplice però e a volte l’unica opzione sul tavolo rischia di rimanere quella di pagare.

Le autorità sconsigliano sempre questa opzione (così come colossi informatici, come Microsoft): pagare un riscatto significa dare maggiori risorse ai criminali informatici per proseguire gli attacchi in futuro. Inoltre c’è un grosso rischio: stando alle statistiche in mano al FBI, nel 20% dei casi di ransomware, pure se si paga il riscatto poi non si riceve la chiave per liberare i propri file (e in altri casi, a volte alcuni file vengono comunque persi per sempre durante il processo di decriptaggio).

 

Protezione dai ransomware: la soluzione migliore è prevenire

Navigare su Internet nasconde tanti rischi, tra cui i ransomware. Avere una connessione protetta e sicura è un passo fondamentale per mettersi al sicuro da attacchi informatici. Usare una rete privata virtuale (VPN) è un ottimo modo per proteggersi. Cos’è la VPN? Un servizio per navigare in sicurezza grazie alla crittografia a 256 bit e in modo anonimo.

La regola d’oro è quella di fare sempre un backup dei propri dati. Soprattutto, un’azienda dovrebbe sempre avere delle copie su dei server sicuri. Gli utenti privati, possono fare affidamento ad hard disk esterni oppure a servizi di Cloud. L’importante è fare backup settimanali se possibile: in caso di attacco ransomware, vi basterà così formattare il vostro pc e poi caricare i dati del vostro backup.

 

Altri consigli per prevenire un attacco ransomware che possiamo darvi sono i seguenti:

 

  • Non aprite mai gli allegati delle email che vi sembrano anche solo minimamente sospette o che arrivano da contatti che non avete mai sentito prima
  • Aggiornate sempre sistema operativo, antivirus, browser e plugin vari (Java, Adobe, Flash Player) quando ci sono nuove patch
  • Abilitate l’opzione “Mostra estensione nome file” nelle impostazioni Windows: in tal modo potrete vedere le estensioni di tutti i file e riconoscere quelle più pericolose, ovvero dove si potrebbe nascondere un ransomware (come .exe, .zip, js, jar, scr)
  • Evitate di cliccare su banner pubblicitari o finestre pop-up su i siti internet, specialmente quando navigate su siti poco conosciuti
  • Per le reti aziendali, usate soluzioni come le User Behavior Analytics (UBA) per analizzare le anomalie nel traffico internet dei singoli PC dei vostri dipendenti, un ottimo modo per individuare comportamenti svolti da software malevoli all’interno di un PC della rete