Cambiavento

Cryptolocker: come funziona e come difendersi se colpiti

Pubblicata il 26 febbraio 2017

Vai alla sezione Web & Media »

Cryptolocker: come funziona e come difendersi se colpiti
Sicuramente avrete sentito parlare dei virus del riscatto, anche detti cryptovirus o ransomware, che da circa tre anni stanno mettendo in subbuglio la comunità informatica. Nello specifico, si tratta di un virus che crittografa i file presenti nel computer rendendoli inaccessibili. Ma l'aspetto più allarmante deve ancora venire: l'obiettivo “dell'infezione” da parte di questi virus è la richiesta del riscatto all'utente, uno scopo puramente lucrativo. In cambio della somma, i programmatori dei virus ostentano l'invio del decrittatore, ovvero una chiave che consente all'utente di decifrare i file danneggiati, recuperandoli. La diffusione del cryptovirus avviene attraverso l'apertura di un file corrotto, spesso allegato ad e-mail provenienti da enti istituzionali o da aziende conosciute. Una volta cliccato sull'allegato, il virus si inocula nel sistema bloccando l'accesso e la leggibilità dei file. (vedi degli esempi di finte fatture contenenti un ransomware riportate sul sito di una software house che si occupa della rimozione dei cryptovirus.

Per quanto riguarda il riscatto, va detto che gli hacker sfruttano le caratteristiche di una valuta digitale molto difficile da individuare anche per la polizia postale: il Bit Coin. Si tratta di una cryptomoneta difficile da reperibile e da tracciare, che sta diventando lo strumento prediletto dagli hacker per condurre illeciti economici in rete (mediante una qualsiasi altra modalità di pagamento del riscatto, l'hacker verrebbe arrestato dopo la prima esazione). Se l'utente tarda a pagare il riscatto, la somma richiesta aumenta. Quello che l'utente non sa è che, pagando il riscatto, si va a contribuire in modo diretto alla crescita e alla diffusione dei cryptovirus, finanziando la creazione di versioni più potenti e ancora più complesse da decifrare.
Cosa si può fare dunque per riavere i propri file senza cedere al riscatto?

Cryptovirus: decifrarli è possibile, ma non senza difficoltà
L'unico modo per decriptare i file bloccati da ransomware è l'individuazione del decrittatore, ovvero una sequenza di numeri che decritta i file ripristinandoli. Non vi è nessuna garanzia del fatto che i file vengano di nuovo resi fruibili dopo il pagamento della somma richiesta, anzi, sono molto frequenti i casi in cui, dopo aver pagato il riscatto, il decrittatore non è mai stato fornito all'utente. Un altro problema è rappresentato dalla capacità limitata dei computer tradizionali: anche se l'utente volesse cimentarsi nell'individuazione e nel calcolo della chiave di decifrazione, il suo PC avrebbe bisogno di almeno tre anni per provare le chiavi e decrittare i file.

Non disperate, la soluzione c'è: affidarsi alle competenze e ai potenti strumenti di calcolo delle aziende informatiche. In questo panorama allarmante, esiste un buon numero di agenzie informatiche specializzate nella rimozione dei ransomware attraverso l'impiego di server sofisticati, capaci di eseguire dei calcoli distribuiti per individuare le chiavi di decrittazione.

Ma le insidie sono dietro l'angolo: esistono casi in cui il cryptovirus risulta troppo potente e pressoché impossibile da decrittare anche per i server più avanzati. Da qui nasce l'esigenza, per l'utente, di trovare un'azienda che richieda il pagamento solo dopo aver dato prova dell'effettiva decrittazione dei file. In questo modo, l'utente avrà la garanzia dell'avvenuta decifrazione e potrà pagare con la certezza di riavere i suoi file.

Purtroppo, nonostante le soluzioni per la rimozione dei ransomware siano a disposizione degli utenti, ci sono ancora tante persone che optano per il pagamento del riscatto pensando di recuperare i propri file “in ostaggio” in poco tempo. In realtà, cedere alle minacce e pagare il riscatto non è una soluzione consigliabile, perché, nella maggior parte dei casi, l'utente paga senza ricevere il decrittatore promesso dagli hacker. Vediamo nello specifico cosa accade quando si procede con pagamento del riscatto.

Attacco ransomware: perché non pagare il riscatto
Quando si è presi dal panico in seguito alla perdita dei propri file e documenti sensibili, il pagamento del riscatto può sembrare una soluzione valida. In realtà, quello che la maggior parte degli utenti ignora, è la circostanza, molto frequente, in cui, dopo il pagamento della somma richiesta dagli hacker, la chiave di decrittazione dei file non viene mai fornita.
Se consideriamo che gli attacchi dei cryptovirus generano dei grandi introiti per gli hacker, il fenomeno è a dir poco allarmante, perché, pagando il riscatto, si va a favorire proprio il lancio di questi attacchi, nonché lo sviluppo di versioni di cryptovirus più potenti e virulente.
Sulla base di quanto abbiamo detto, pagare il riscatto rappresenta la scelta sbagliata sia dal punto di vista pratico, poiché non garantisce la restituzione dei dati al proprietario, sia dal punto di vista etico, in quanto alimenta il business degli hacker finanziando la creazione di nuovi e più potenti virus. Da qui l'importanza di rivolgersi ad agenzie specializzate per la rimozione del cryptovirus ed il recupero dei propri file.

Ransomware: cosa fare per prevenire l'attacco
La prevenzione, si sa, è l'arma migliore. Ma come si fa a prevenire l'attacco di un nemico così subdolo? Anche se i cryptovirus vengono camuffati a regola d'arte, esistono delle buone pratiche che consentono di ridurre le probabilità di venire infettati. Per il singolo utente, il consiglio è quello di prestare attenzione a tutte le e-mail ricevute, anche se provengono da mittenti noti o istituzionali (Enti pubblici, banche, ecc), specialmente se il testo risulta sgrammaticato. L'attenzione va rivolta soprattutto verso gli allegati: in particolare, evitare di cliccare su file zip o pdf, o su file con estensioni exe, cab ed scr. È inoltre consigliabile installare un sistema operativo che permetta di visualizzare la reale estensione dei file e limitare i permessi di gestione delle cartelle. Eseguire il backup dei dati con regolarità.

Per quanto riguarda le piccole e medie imprese, va detto che attualmente sono tra gli obiettivi più sensibili, basti pensare che siamo passati da 27.000 aziende colpite nel 2015, a 158.000 imprese sotto attacco nel 2016 (fonte dati Openfile). Cosa può fare un'azienda per prevenire gli attacchi dei cryptovirus ed evitare la perdita di dati importanti?
- eseguire regolarmente il backup salvandolo offline su di un'apposita piattaforma;
- impiegare strumenti che consentano di verificare gli allegati, le e-mail, i siti web, ecc;
- aggiornare regolarmente sia i sistemi operativi sia i sistemi antivirus e antimalware;
- dividere la rete aziendale in zone distinte, affinché l'infezione sia circoscritta ad un solo settore senza possibilità di diffondersi;
- limitare i privilegi e stabilire dei permessi per gli utenti per limitare il rischio di infezione dei dati o delle applicazioni;
- sensibilizzare i propri dipendenti al fine di garantire una maggiore sicurezza. Gli esseri umani rappresentano da sempre l'anello più debole, ed è pertanto necessario innalzare il livello di formazione puntando sull'importanza di non cliccare sui file, sugli allegati e sui link presenti in e-mail non richieste.
Purtroppo, nonostante le precauzioni, si può venire infettati lo stesso dal ransomware. Vediamo cosa fare in caso di avvenuta infezione.

Cosa fare in caso di attacco
Nel caso in cui il PC subisse un attacco da parte di un cryptovirus, l'utente può procedere contattando l'azienda informatica per richiedere un intervento di rimozione del cryptovirus. Nella maggior parte dei casi, l'azienda chiederà all'utente di inviare i file bloccati al reparto tecnico per poi avviare l'analisi (questa operazione può richiedere poche ore o qualche giorno e ha il 95% di probabilità di riuscita con imprese specializzate. Una volta avuta conferma della possibilità di recuperare i file, l'azienda ricontatterà il cliente per procedere con il pagamento della prestazione e la restituzione dei file resi di nuovo fruibili.

Condividi questa notizia

facebook twitter linkedin google email
Tutte le sezioni
Notizie per località
Credits
Editore Xaiel srl
Via Rio Palazzi, 37
40026 Imola (BO)
direttore@leggilanotizia.it

P.IVA 02226881205
© Copyright 2011 Xaiel srl.
Tutti i diritti riservati. Riproduzione vietata.

Testata registrata presso il Tribunale di Bologna n.8167 del 16 marzo 2011. Iscrizione al Registro degli Operatori di Comunicazione n. 15545

Questo sito è interamente gestito con il CMS i-Plug
Realizzazione sito:
Punto Triplo Srl