Ransomware, cryptolocker, cryptovirus: cosa sono e come difenderci.

Cosa sono, come difenderci, come evitarli!

Sono un tipo di software malevolo, tecnicamente inseribili nella categoria dei “trojan”, che va molto di moda in questo periodo. Come dice la parola ransom significa riscatto e la parola ware significa articolo/merce. Lo potremmo definire metodo (informatico) con il quale chiedere un riscatto.

Come agiscono?

Questi fastidiosi virus bloccano i documenti contenuti nell’hard disk infettato e chiedono un riscatto. Esso è generalmente in bitcoin, che come sappiamo è una moneta non rintracciabile. Possono infettare computer, oppure smartphone o qualsiasi dispositivo che sia un IoT. Dopo essere stato contagiato, il dispositivo, può dare diversi problemi, in modo diverso a seconda del ransomware utilizzato dai “riscattatori”. Potrebbe continuare a funzionare ma foto, filmati, musica e scritti della vittima vengono criptati tramite algoritmi di cifratura. Molti utenti se ne accorgono al riavvio, dove appare una schermata che richiede un riscatto. Purtroppo però non sempre viene fornita la chiave per decifrare i files anche dopo il pagamento del riscatto, per cui il consiglio è stare attenti.

Diffusione

I metodi di diffusione sono diversi, ma il più utilizzato è la mail. L’ingenuità umana sembra essere il vero punto debole della sicurezza in generale non solo informatica. A causa della rapita evoluzione dei sistemi informatici, non li abbiamo metabolizzati sufficientemente da sentirli parte del nostro quotidiano. Diamo ancora troppa poco importanza alle credenziali per accedere ad un sistema ad esempio. Le persone non sono ancora convinte di avere un avatar virtuale che ogni giorno gira per le strade di internet, riceve la posta, legge il giornale o guarda un film. E sebbene tutte queste cose si possano fare anche comodamente seduti sul divano, la nostra identità invece cammina, corre, si fa conoscere ed entra in contatto con altre. Sembra un po’ un film di fantascienza ma è la realtà di oggi con la quale dobbiamo fare i conti.

L’utente in generale è il più grosso problema di sicurezza da risolvere. Attenzione, non si tratta di stupidità ma come dicevo prima, non siamo ancora pronti. Senza entrare troppo nel merito, l’inserimento della sicurezza porta sicuramente dei disagi e dei rallentamenti. Attualmente infatti non è accettata dagli utenti e viene vista spesso come una inutile perdita di tempo. Le difficoltà sono anche a livello di management che spesso è restio nell’investire in tecnologie all’avanguardia e nella sicurezza di queste.

Di cosa si tratta.

Il modo migliore per chiedere un riscatto, sicuramente, è quello di essere indispensabile e quindi di essere l’unico a poter in qualche modo potervi tirar fuori dai guai.

Il backup. E’ il miglior amico della sicurezza, quello che almeno ci permetterebbe di ritornare a lavorare dopo poco, ma sembra non ci sia mai tempo per farlo.

Questo è il potere: la nostra mancanza di tempo. I dati quindi vengono cifrati con una chiave segreta e resi inutilizzabili dal proprietario. Se quest’ultimo ha un backup, buco nell’acqua, ma se non ce l’ha ha una unica soluzione. Acquistare dal l’ “info-rapinatore” la chiave per renderli nuovamente operativi. Il problema è che solo ed esclusivamente lui ha la chiave per decifrare i dati. Ecco perché all’inizio ho detto indispensabile.

Il più famoso ransomware è il cryptolocker e le sue varievarianti che ancor oggi mietono vittime.

Una volta avviato, il trojan si connette a server prestabiliti i quali generano una chiave pubblica RSA a 2048 bit la inviano al client danneggiato e cominciano a cifrare i dati.

Una volta cifrati, viene richiesto un riscatto.

Le parole chiave sono Backup e Attenzione. Entrambi costano veramente poco

Come dicevo sopra, il ransomware si diffonde in genere tramite email di phishing, con diversi soggetti e tipologie in base alle diverse ondate di criptovirus. Le prime versioni dei trojan come Cryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma di fatture o note di credito e venivano inviate come allegato al messaggio, chiedendo un riscatto in bitcoin. Successivamente, le mail di phishing hanno cominciato a contenere codici di tracking di Corrieri Espresso nazionali o internazionali, bollette di gestori elettrici o del gas, oppure ancora dei più comuni operatori telefonici.

I messaggi di posta sono spesso convincenti e contengono un allegato che passa incolume attraverso antivirus spesso non aggiornati, oppure un link a un sito di phishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, a volte il ransom stesso oppure molto più leggero, un piccolo script che si attiverà dopo qualche tempo, collegandosi in modo invisibile alla rete internet, scaricando quindi il vero virus.

Oltre che tramite email di phishing, la diffusione del malware può avvenre tramite siti web compromessi da infezioni come Angler Exploit Kit, che attecchiscono su sistemi di utenti inconsapevoli che navigano su siti web utilizzando browser con componenti non aggiornati.

In modo minore, alcuni cryptovirus si diffondono tramite vulnerabilità su protocolli come RDP oppure sostituendosi – dopo aver bucato il sito web – a link di download legittimi caricati online da società di sviluppo che distribuiscono il loro prodotto via web.

Che versioni esistono?

Le versioni dei ransomware successive a Cryptolocker si sono fatte più pericolose rispetto alle prime e, con Crypt0l0cker, CTB-Locker, TeslaCrypt (di cui in realtà oggi esistono dei decryptor, ovvero software di decifratura), Locky, Cerber, Zepto, hanno cominciato a criptare i dati senza possibilità di recupero. La vittima che non ha provveduto a mettersi al riparo tramite backup spesso finisce per pagare il riscatto in bitcoin.

Come fare a riavere i dati?

A chi capita questo spiacevolissimo guaio si chiederà certamente come decifrare i documenti criptati dai ransomware.

A parte alcuni casi specifici per i quali esistono soluzioni tecniche o sono stati pubblicati dei decryptor, non è ancora stato trovato un antidoto generico.

Numerose software-house si sono poste il problema di come difendersi dai ransomware, sviluppando soluzioni integrate con antivirus, endpoint security o stand-alone che limitano i danni tentando di identificare il cryptovirus prima che venga scaricato, prima che si attivi o, se non c’è alternativa, quando ha iniziato a criptare i documenti. Le soluzioni per proteggersi dai ransomware sono ancora in via di definizione, non si può quindi consigliare un singolo prodotto che difenda da tutti i cryptovirus.

Le uniche opzioni per proteggersi dai virus e non pagare un esoso riscatto sono sempre quelle più semplici e meno applicate: prevenzione e backup periodici!

E’ bene in ogni caso non pagare alcunchè e rivolgersi immediatamente ala polizia postale.

Piccolo consiglio. Una volta che ci accorgiamo che i dati sono cifrati e non possiamo farci nulla un soluzione potrebbe essere quella di non spegnere il pc.

Chiamare quinidi un ingegnere specializzato, che potrebbe catturare la chiave in memoria e salvarvi i dati.

 

About the author: Alessandro Flacco

System Architect Engineer / Information security and Privacy consulting.