I ransomware sono malware informatici, tecnicamente inseribili nella categoria dei “trojan”. Sono attualmente i virus più “in voga” in questi anni.

Come agiscono?

Questi fastidiosi virus bloccano i documenti contenuti nell’hard disk infettato e chiedono un riscatto. Esso è generalmente in bitcoin, che come sappiamo è una moneta non rintracciabile. Possono infettare computer, oppure smartphone o qualsiasi dispositivo che sia un IoT. Dopo essere stato contagiato, il dispositivo, può dare diversi problemi, in modo diverso a seconda del ransom utilizzato dai riscattatori. Potrebbe continuare a funzionare ma foto, filmati, musica e scritti della vittima vengono criptati tramite algoritmi di cifratura. Potrebbe apparire normale all’avvio ma dopo la schermata iniziale del sistema operativo, compare una schermata che rende impossibile qualsiasi operazione, tranne ovviamente quella di inserire la chiave per decriptare il dispositivo. Oppure nella peggiore ipotesi, ancora prima dell’avvio del bios, potrebbe comparire la fatidica richiesta di riscatto. Al pagamento del riscatto, i criminali in genere sbloccano la protezione dai documenti e rimuovono il ransomware.

Come avviene l’infezione?

Il ransomware si diffonde in genere tramite email di phishing, con diversi soggetti e tipologie in base alle diverse ondate di criptovirus. Le prime versioni dei trojan come Cryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma di fatture o note di credito e venivano inviate come allegato al messaggio, chiedendo un riscatto in bitcoin. Successivamente, le mail di phishing hanno cominciato a contenere codici di tracking di Corrieri Espresso nazionali o internazionali, bollette di gestori elettrici o del gas, oppure ancora dei più comuni operatori telefonici.

I messaggi di posta sono spesso convincenti e contengono un allegato che passa incolume attraverso antivirus spesso non aggiornati, oppure un link a un sito di phishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, a volte il ransom stesso oppure molto più leggero, un piccolo script che si attiverà dopo qualche tempo, collegandosi in modo invisibile alla rete internet, scaricando quindi il vero virus.

Oltre che tramite email di phishing, la diffusione del malware può avvenre tramite siti web compromessi da infezioni come Angler Exploit Kit, che attecchiscono su sistemi di utenti inconsapevoli che navigano su siti web utilizzando browser con componenti non aggiornati.

In modo minore, alcuni cryptovirus si diffondono tramite vulnerabilità su protocolli come RDP oppure sostituendosi – dopo aver bucato il sito web – a link di download legittimi caricati online da società di sviluppo che distribuiscono il loro prodotto via web.

Che versioni esistono?

Le versioni dei ransomware successive a Cryptolocker si sono fatte più pericolose rispetto alle prime e, con Crypt0l0cker, CTB-Locker, TeslaCrypt (di cui in realtà oggi esistono dei decryptor, ovvero software di decifratura), Locky, Cerber, Zepto, hanno cominciato a criptare i dati senza possibilità di recupero. La vittima che non ha provveduto a mettersi al riparo tramite backup spesso finisce per pagare il riscatto in bitcoin.

Come fare a riavere i dati?

A chi capita questo spiacevolissimo guaio si chiederà certamente come decifrare i documenti criptati dai ransomware: a parte alcuni casi specifici per i quali esistono soluzioni tecniche o sono stati pubblicati dei decryptor, non è ancora stato trovato un antidoto generico per recuperare i documenti cifrati, se non ripristinarli da copie di sicurezza eseguite prima di contrarre il virus.

Numerose software-house si sono poste il problema di come difendersi dai ransomware, sviluppando soluzioni integrate con antivirus, endpoint security o stand-alone che limitano i danni tentando di identificare il cryptovirus prima che venga scaricato, prima che si attivi o se non c’è alternativa quando ha iniziato a criptare i documenti. Le soluzioni per proteggersi dai ransomware sono ancora in via di definizione, non si può quindi consigliare un singolo prodotto che difenda da tutti i cryptovirus.

Le uniche opzioni per proteggersi dai virus e per non pagare un esoso riscatto sono sempre quelle più semplici e meno applicate: prevenzione e backup periodici!