Social Network
Seguici su Facebook
Inserito in: Internet e siti web
07/03/2017

Non aprire quella e-mail: i cryptolocker sono la nuova minaccia del web

Autore: Agnese Bauli

cryptolocker

Da circa un paio di anni, i protagonisti della scena mediatica sono senza dubbio i cryptovirus. Conosciuti anche con il nome di cryptolocker o ransomware, questi programmi malevoli agiscono velocemente apportando dei danni significativi: appena viene lanciato nel PC, il software maligno inizia a crittografare tutti i file che trova, rendendoli illeggibili. In un secondo momento, l'utente visualizza un messaggio contenente una richiesta di denaro, solitamente recapitato nella seguente forma “paga 500 dollari entro 72 ore o perderai per sempre i tuoi dati”. Il pagamento viene richiesto in Bit Coin, una valuta virtuale che permette di effettuare il pagamento in forma anonima e senza la possibilità di tracciare la transazione.
Secondo uno studio statistico condotto e reso pubblico dall'FBI, ci sono stati circa 500.000 attacchi da parte dei cryptolocker: stimando il pagamento del riscatto da parte dell'1% degli utenti, i criminali informatici avrebbero ricevuto circa 3 milioni di dollari prima che la polizia prendesse dei provvedimenti.

Metodi di distribuzione di un ransomware

Un cryptolocker o una minaccia analoga può facilmente infettare un dispositivo (PC) attraverso lo spam, utilizzando e-mail ingannevoli contenenti allegati fasulli quali false fatture, falsi ordini e spedizioni a proprio favore. Le e-mail possono inoltre contenere finti messaggi di enti governativi, istituti bancari, oppure utente da pagare. Gli allegati di queste e-mail contengono i cryptovirus. La cosa importante è riflettere prima di aprire i file allegati nelle e-mail e verificare la reale esistenza della mail ricevuta chiamando direttamente la compagnia al numero verde. L'imperativo è NON cliccare sugli allegati, perché, una volta aperto il file contenente il virus, questo inizierà subito a codificare tutti file che trova.
Per la restituzione dei file viene avanzata una richiesta di pagamento da parte degli hacker, una richiesta che, purtroppo, in molti sembrano accettare, credendo erroneamente di riavere i propri file in poco tempo. Ma il pagamento del riscatto non garantisce affatto il recupero dei dati sequestrati, anzi, non sono pochi gli episodi in cui non vengono mai restituiti all'utente. Per darvi un riscontro concreto sui casi in cui i file non sono mai stati restituiti ai proprietari, abbiamo contattato un'agenzia informatica che studia soluzioni per rimuovere i cryptolocker. Si chiama OpenFILE e i dati statistici che ci ha fornito evidenziano una situazione allarmante: su 10 utenti che hanno pagato il riscatto, 6 non hanno mai ottenuto le chiavi per decodificare i file. Il fenomeno risulta ancora più preoccupante se consideriamo che, in molti casi, gli utenti pagano ben due volte per riavere i propri file decodificati: la prima volta agli hacker, ma senza ricevere il decodificatore, la seconda ad un'azienda informatica che si avvalga di strumenti che consentano di recuperare i file in modo lecito. In questo caso, è determinante assicurarsi che l'azienda scelta sia davvero in grado di decodificare i file bloccati da ransomware, altrimenti si rischia di pagare due volte senza risolvere il problema.
L'azienda sopracitata (OpenFILE), ad esempio, invia uno screenshot dell'avvenuta decodificazione di un file, come prova concreta della possibilità di ripristinare i documenti “in ostaggio”. Oltre alla garanzia di poter riavere i propri file, rivolgendosi ad agenzie come OpenFILE si avrà una probabilità di riuscita del 95%.
Non bisogna però trascurare la questione etica: cedendo al riscatto, l'utente va a contribuire in modo sostanzioso all'arricchimento dei criminali informatici, finanziando un business che potrebbe portare, nel tempo, allo sviluppo di nuovi e più potenti virus. È quindi di primaria importanza capire che, per tentare di recuperare i propri file, ci si deve rivolgere alle aziende specializzate che operino nella piena legalità.

Come avviene la decodificazione dei cryptovirus

Per rimuovere il ransomware e decodificare i file bloccati è necessario trovare la chiave di decrittazione che permette di ripristinarli. Le chiavi di decrittazione sono uniche e diverse per ogni sistema, questo significa che, se il virus ha infettato più sistemi, sarà necessario individuare più chiavi. La difficoltà sta nella potenza dell'algoritmo di criptazione, talmente robusto da inibire anche i metodi Brute Force, basti pensare che un normale computer potrebbe impiegare anche 4 anni per decodificare una sola stringa. Al contrario, le aziende informatiche specializzate in questo tipo di attività dispongono di server dotati di grandi capacità di calcolo, in grado di portare a termine la decrittazione in poche ore. Anche per un server potente, il processo di decodificazione non è privo di difficoltà: i cryptovirus vengono aggiornati dai loro sviluppatori e si rigenerano diventando ancora più forti e difficoltosi da rimuovere anche per i server più sofisticati. Inoltre, esistono varianti di cryptolocker che risultano ancora impossibili da decodificare. Se la decodificazione dei ransomware è così complessa, bisogna ingegnarsi per prevenire questi attacchi ed evitare di essere “infettati”.

Consigli per la prevenzione

Il contagio dei cryptovirus può essere evitato mettendo in pratica dei piccoli trucchi. Come abbiamo precedentemente accennato, il cryptovirus viene solitamente recapitato alla vittima mediante una e-mail contenente un allegato infetto. Per riconoscere l'e-mail virale e cestinarla prima che sia troppo tardi, bisogna adottare un atteggiamento di diffidenza verso il mittente, specialmente quando questo è conosciuto o istituzionale. Fare attenzione ai probabili ordini non previsti, ad eventuali spedizioni a proprio favore o alle fatture relative alle utenze (acqua, gas, elettricità). Le e-mail infette possono trarre in inganno perché realizzate molto bene e del tutto credibili. Porre particolare attenzione ai seguenti file ed allegati:
 

  • le estensioni tradizionali: EXE, CAB, PIF, COM
  • documenti contenenti file in: pdf, src, doc, docx, ppt
  • file compressi: zip, msi, cab, rar
  • file con doppia estensione: FILE.DOC.EXE

Il suggerimento è quello di non aprire mai l'allegato senza aver prima verificato la legittimità della e-mail contattando l'azienda mittente, il corriere per la presunta spedizione o la ditta per l'eventuale fattura recapitata. È altresì importante non rispondere all'e-mail, perché si rischierebbe di fornire agli hacker delle informazioni preziose (es. l'account è reale ed è attivo). Ricordiamo infine alle aziende di provvedere al backup dei dati almeno una volta al giorno.

Resta aggiornato su sport e fitness cliccando su Mi Piace