Ransomware: come ci si infetta e cosa fare prima e dopo l’infezione

di Corrado Aaron Visaggio

Il ransomware è sicuramente tra i malware più noti ai non addetti ai lavori. E questo perché è stato il primo malware a colpire in modo massiccio privati cittadini, piccole aziende e studi professionali.

Il ransomware è un codice malevolo che cifra i dati, rendendoli inaccessibili al legittimo proprietario. Per avere di nuovo i dati in chiaro, ovvero per potervi accedere, bisogna pagare un riscatto.

Infatti “ransomware” è la crasi di ransom (“riscatto”) e malware (“software malevolo”).

Di solito il riscatto è una cifra che oscilla tra i 500€ ed i 1.500€; ci sono anche casi in cui vengono chieste cifre inferiori ai 300€, ma sono molto rari.  L’ammontare del riscatto viene stabilito sulla base di alcuni parametri che stimano la capacità finanziaria della vittima. In altre parole, nel caso in cui il riscatto superi i 700€, potreste essere una vittima designata, ovvero non siete caduti in una campagna a “strascico”, ma siete stati colpiti in modo diretto.

Il ransomware arriva per lo più in due modi: o attraverso una mail di phishing nella quale si chiede di aprire un allegato (malevolo) o di cliccare su un link, oppure cliccando su un link. Generalmente si potrebbe indurre la vittima a cliccare sul link malevolo in una rete sociale (via chat, per esempio), oppure nascondendo il link malevolo dietro un’immagine.

Ovviamente, siccome si tratta di file malevoli che attivano il ransomware, potrebbe capitare che il file venga avviato sulla macchina della vittima in un modo alternativo a quelli elencati; questi però rappresentano casi più rari.

La vittima che viene infettata dal ransomware, tra i file cifrati, vedrà un file di testo in chiaro che indicherà come fare a decifrare i file cifrati. Il riscatto sarà richiesto sottoforma di bitcoin, che è una modalità di pagamento che consente l’anonimato agli attori della transazione.

Nell’immagine è mostrato un esempio di file di istruzioni per decrittare i file infettati da un ransomware.

ransomware2

 

Alle volte in questo testo in chiaro si offre anche la possibilità di contattare via mail qualcuno che, nella lingua della vittima, gli illustrerà via telefono, via chat oppure via mail, tutto il processo da seguire per decifrare i file.

I ransomware di ultima generazione cifrano tutti i file raggiungibili dalla macchina sulla quale è in esecuzione, per cui, anche chiavette usb o hard disk esterni collegati al pc e dischi condivisi.

Nel caso in cui il ransomware si installi attraverso un file allegato, l’esecuzione del file non è mai automatica, ma richiede che la vittima acconsenta all’esecuzione, ovvero prema il tasto “SI” sui pop-up che richiedono l’esecuzione di una macro in un file di Office, oppure apra un pdf.

Le tipologie di file utilizzati per l’infezione sono variegati: si va dai tradizionali .exe o .zip, fino ai pdf (eh sì, anche i pdf possono contenere programmi malevoli che si attivano all’apertura del file), o ai più tradizionali .doc e .xls. La lista delle possibili estensioni è davvero molto lunga, per cui quando non si conosce l’estensione di un file, prima di aprirlo, meglio informarsi.

Cosa fare appena ci si accorge che l’infezione è in corso.

La cosa migliore da fare è spegnere brutalmente la macchina, forzando lo spegnimento dal tasto di accensione, staccando i cavi di rete, le chiavette usb o gli hard disk collegati alla macchina e spegnendo il wifi. Dopo aver fatto queste operazioni, è consigliabile consultare un esperto che sia in grado di recuperare i dati. L’esperto in questione dovrebbe creare un’immagine del disco e provare a ricostruire i file attraverso file carving; questo è possibile perché la maggior parte dei ransomware non cifra il disco, ma solo i file, per cui i file originari potrebbero essere ancora presenti sul disco.

Per questo motivo è assolutamente importante che non si lavori sul disco infettato, finché l’esperto non ci mette mano. Se il ransomware è vecchio di qualche mese, è possibile rintracciare le chiavi in rete, oppure software dedicati (tipicamente prodotti da case di antivirus) per rompere la cifratura dei file. Infatti, pare che oramai per quasi tutti i ransomware vi sia questo trend: dopo due o tre mesi dalla diffusione di uno specifico ransomware vengono diffuse le chiavi per recuperare i dati da esso infettati.

E’ importante che l’esperto faccia anche una disinfestazione del ransomware dalla macchina, accertandosi che esso non si presenti in una forma “residente”, ovvero che non si reinstalli all’avvio della macchina, successivamente alla sua rimozione.

Perché non pagare il riscatto

Pagare il riscatto sembrerebbe la via più breve per risolvere il problema. Inoltre, con molta probabilità l’esperto che coinvolgete potrebbe costare molto di più del riscatto richiesto, potrebbe non riuscire a recuperare tutti i vostri file, potrebbe non riuscire a fare un’accurata disinfestazione della macchina o del perimetro infetto.

Nonostante questi rischi, si consiglia vivamente di non pagare il riscatto, ma affidarsi ad un esperto.

Chiariamo subito che il pagamento del riscatto non garantisce la completa decrittazione dei vostri file.

Inoltre, pagare il riscatto significa certificare ai criminali che vi hanno infettato, che il ransomware è un tipo di business che remunera, quindi li si spinge a investire in questo business e reiterarlo.

Pagare il riscatto equivale a farsi identificare da questi criminali come “vittima vulnerabile e pagante”, quindi sarete sicuramente oggetto di una seconda campagna di infezione, magari molto più aggressiva della prima. Statisticamente è, infatti, molto frequente che si venga colpiti più di una volta a distanze temporali che si riducono nel tempo. Questo accade perché chi viene infettato dal ransomware, di solito, dopo aver pagato il riscatto e riavuto i dati, non prende le opportune precauzioni per non infettarsi ulteriormente.

Quali precauzioni prendere

Il ransomware, in realtà, crea un danno solo se i dati che cifra sono l’unica versione che la vittima possiede.

Se la vittima avesse l’abitudine di fare dei back up abituali dei propri file “preziosi”, il ransomware non avrebbe un impatto grave. E’ quindi opportuno che ci si abitui ad avere back up frequenti e funzionanti dei propri “file preziosi”.

E’ importante che i back up siano mantenuti su un disco che viene acceduto solo in modalità “sicura”, cioè da computer che sono sicuramente puliti (liberi da malware) e possibilmente non collegati alla rete.

Questi “computer puliti”, dovrebbero essere macchine che non vengono utilizzate per navigare in rete né per leggere la posta elettronica. In questi computer non dovrebbero nemmeno essere inserite chiavi usb non “sanitizzate” (ovvero libere da malware). La precauzione sembra eccessiva, ma è l’unica per preservare il back up.

Inoltre, se nel proprio studio professionale o nella propria azienda si hanno dischi condivisi, sarebbe opportuno che questi vengano protetti da politiche di accesso rigorose e che vi siano efficaci strumenti anti-malware che li proteggano.

Sarebbe opportuno che negli ambienti professionali si separino “fisicamente” le reti che si usano per la navigazione su siti rinomatamente sicuri, dalle reti utilizzate per la navigazione su siti la cui affidabilità è dubbia.

E’ importante che si prenda l’abitudine a non navigare su siti inaffidabili da pc che si usano per la propria professione o che contengono i “file preziosi”. Sempre su questi pc sarebbe opportuno non installare o eseguire un programma della cui affidabilità non si è sicuri.

Inoltre, è importante applicare filtri efficaci alla posta elettronica ed imparare a distinguere le mail che possono contenere un allegato o un link malevolo. A tal proposito potete leggere questo post.