Ransomware in continua evoluzione: da cryptolocker a teslacrypt.

Come difendersi!

I ransomware sono una particolare tipologia di malware che non possono essere propriamente definiti come virus, in quanto non danneggiano il computer ma creano un blocco, ed impediscono l'accesso a determinate aree, per poter eliminare questo malware l'applicazione di blocco chiede al proprietario del computer di pagare una determinata cifra (solitamente al creatore del ransomware), in modo da togliere questi blocchi. Alle volte succede anche che il malware faccia apparire al possessore del computer dei messaggi che incitino il pagamento. Nella maggior parte delle volte il ransomware si presenta come una pagina di blocco della polizia di stato, polizia postale, polizia penitenziaria, guardia di finanza o arma dei carabinieri, in ogni caso è sempre bene ricordare che nessuno di questi organi governativi vi richiederà mai un pagamento tramite internet se non giustificato da un'apposita notifica consegnata al vostro domicilio.

Come si viene in contatto con il ransomware

Questo particolare malware si contrare in due modi diversi. Il primo è tramite email di phishing, in cui come già spiegato precedentemente, nella casella email arrivano messaggi con allegati da parte della polizia o di qualche altro organo giudiziario, oppure società energetiche (ad esempio Enel energia) o ancora operatori telefonici (come Wind, Tim, Tre o Vodafone). Aprendo questi allegati il computer viene immediatamente infettato, e viene richiesto al proprietario del computer, il cosiddetto riscatto.

Un altro metodo che si è sviluppato negli ultimi tempi è quello attraverso il quale il computer viene infettato quando si visitano siti non sicuri. Il ransomware sfrutta dei particolari exploit (ovvero stringhe di codici che utilizzano falle nel sistema operativo e del browser) per entrare sul computer ed ottenere dei privilegi di amministratore, che gli permettono di controllare determinati processi del sistema e conseguentemente bloccarli. Sicuramente un modo molto importante per difendersi da questo malware, è avere costantemente il sistema operativo aggiornato, e anche un buon antivirus e un anti-malware, anti-exploit.

Il ransomware del documenti: il Cryptolocker o CTB-Locker

Il Cryptolocker o CTB-Locker è un particolare ransomware che colpisce tramite email. Aprendo l'allegato il file rilascia nel computer dei dati che colpiscono prevalentemente file di testo (o documenti) come file Excel, file Word, file Power Point, disegni di Autocad o ancora file con estensione rar o zip, ovvero i file compressi. I file infettati vengono resi illeggibili in quanto vengono criptati in una chiave diversa per ogni computer, e ogni volta che si proverà ad aprire uno di questi file, apparirà un messaggio di avviso. Per fare un esempio se l'email fosse arrivata dalla falsa società energetica Enel, il messaggio richiederà di pagare una bolletta arretrata oppure un servizio aggiuntivo imposto dall'azienda, scrivendo il totale da pagare e il conto sul quale versare il pagamento. In ogni caso ogni qual volta si proverà ad aprire uno dei file descritti in precedenza apparirà questo messaggio di avviso.

Solitamente il messaggio appare sempre in egual modo, iniziando con una frase tipo: I tuoi file importanti sono stati crittografati, musica, foto, documenti, puoi visualizzare l'elenco completo qui sotto. Esiste solo una chiave in grado di decifrare i tuoi file, l'unico modo per ottenerla è pagare la cifra sopra indicata, hai tempo fino allo scadere del tempo, se deciderai di non pagare i tuoi file rimarranno criptati per sempre e non ci sarà più nessun modo per recuperarli.

Il problema sostanziale di questo malware sta proprio nella sua chiave di decifratura, in quanto essendo univoca (e quindi unica) è praticamente impossibile ricostruirla, se poi il proprietario del computer decide di cancellare questi file, la chiave viene cancellata dai server e quindi sarà impossibile recuperare il documento.

Come prevenire e proteggersi dai Cryptolocker

Come detto precedentemente una volta infettati è quasi impossibile recuperare i file, se non pagando la cifra richiesta nel riscatto.

Attenzione: pagare un riscatto è considerato reato!

Sicuramente però esistono dei metodi per prevenire ed evitare di essere infettati. Prima di tutto bisogna sempre avere il computer aggiornato, questo evita che il malware possa sfruttare dei codici del vecchio sistema, in quanto, quando effettuiamo degli aggiornamenti andiamo a cambiare anche dei codici per ottenere i privilegi di amministratore.

Un altro punto molto importante è l'utilizzo dell'antivirus, anti-malware. In questo particolare caso di ransomware, che utilizza la posta elettronica e quindi le email per accedere al computer, è importante che il nostro antivirus scansioni la posta in arrivo in modo da eliminare le email che possono contenere file dannosi o comunque spostarle nella sezione spam.

Inoltre bisogna anche seguire alcune piccole regole che possono evitare di incappare in questi malware. Quando apriamo la nostra posta elettronica, prima di aprire un email, bisogna seguire dei semplici passi:

  • Controllare il mittente: quando ci arrivano email da parte di sconosciuti non è mai saggio aprirle, o per lo meno, prima di farlo è meglio controllare il nome del mittente e anche il nome completo dell'email da cui ci è arrivato l'allegato. Solitamente le email di Cryptolocker arrivano tramite un nome, ad esempio nome mittente, Sara Fronzi, però bisogna considerare il fatto che quando arrivano email da parte di un'azienda, oppure da un ufficio governativo, non si utilizzano mai nomi propri, se non in caso di email da parte di aree produttive, come l'ufficio marketing, di produzione ecc.
  • Leggere bene l'oggetto: le email ransomware contengono solitamente un errore grammaticale nell'oggetto, non particolarmente visibile in quanto solitamente si tratta di un apostrofo o un accento. Questo perché le email vengono realizzate automaticamente da un sistema che non riesce ad inserire ne accenti ne apostrofi.
  • Il testo: aprendo poi l'email innanzi tutto controlliamo immediatamente se il testo possiede un italiano corretto. Se il testo non ci desta nessun dubbio controlliamo anche un'altra cosa. Per adescare le persone, le email solitamene ringraziano l'utente di aver effettuato l'ordine, oppure ti espongono le modalità di rimborso promettendo grosse cifre. Il fatto di poter guadagnare una grossa cifra senza far nulla, unita alla curiosità di vedere cosa contiene l'allegato, potrebbe spingere il proprietario del computer ad aprire l'email e scaricare l'allegato. Questo non deve mai accadere, è sempre importante capire se abbiamo fatto transizioni nelle ultime settimane e se veramente abbiamo effettuato ordini o abbiamo diritto ad un rimborso. In caso contrario è meglio evitare di scaricare determinati allegati.
  • L'allegato: il Cryptolocker lavora come un'applicazione e quindi avrà un estensione tale, ovvero exe, com, cab ecc. A volte però per trarre in inganno cambiano il nome del file scrivendo esempio.pdf, che ci porta a pensare che sia un normalissimo file di testo, in realtà potrebbe trattarsi semplicemente di un camuffamento, per scoprire se l'estensione del file è corretta basterà scaricarlo e prima di aprirlo cliccare con il tasto destro, andare su proprietà, generali e controllare il nome dell'estensione del file.

L'evoluzione da Cryptolocker a teslacrypt

teslacrypt è il più recente ransomware che esista su internet. Per la precisione la versione teslacrypt 3.0, è stata ideata e utilizzata, a fine del gennaio 2016, infettando centinaia di computer.

A differenza del cryptolocker il teslacrypt utilizza sia gli allegati delle email, sia siti non protetti, che si infilano nel nostro sistema operativo tramite falle del browser. Il problema sostanziale di questa versione, è che le email che arrivano sul nostro computer, non arrivano più da mittenti sconosciuti, bensì da contatti noti, e questo può farci cadere in trappola, facendoci scaricare l'allegato. Inoltre questo malware possiede un metodo completamente innovativo per cifrare i file che rende impossibile il recupero in caso si venisse infettati.

In sintesi: Come fare a proteggersi?

Come già scritto nei paragrafi precedenti è sempre molto importare avere un buon antivirus e anche un ottimo anti malware che possono controllare sia i siti, classificandoli in base al livello di rischiosità, e naturalmente anche scandagliare le email in posta in arrivo. In oltre è buona norma seguire le regole indicate precedentemente per aprire un email, e naturalmente avere sempre il proprio sistema operativo aggiornato. In sostanza si possono racchiudere i modi per proteggersi e le prevenzioni in 5 semplici domande che bisogna porsi per capire se si è al sicuro da questo malware:

  • Si ha un software antivirus e anti malware in ogni computer?
  • L'antivirus è aggiornato all'ultima versione?
  • Si fanno backup regolari per ogni file al interno del PC?
  • Se i backup sono automatici, si è sicuri che il backup sia completo di ogni file?
  • I backup sono custoditi in cartelle protette da password o da un sistema di accesso FTP, e sono custoditi in un luogo esterno al sistema?

Se anche solo la risposta ad una di queste domande è negativa, non si può essere certi di essere protetti dai ransomware.

Vuoi saperne di più? Contattaci