Ransomware Q&A

La storia del ransomware

1989: Il primo ransomware conosciuto, l’AIDS Trojan 1989 (anche noto come «PC Cyborg»), fu scritto da Joseph Popp
2005: Nel mese di maggio, compare il ransomware a scopo di estorsione
2006: verso la metà del 2006, alcuni worms come: Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive iniziano a utilizzare schemi di criptazione RSA più sofisticati, con chiavi di dimensioni sempre più grandi
2011: Appare un ransomware worm che imita la notifica di “Attivazione prodotto” di Windows
2013: Arrivano sulla scena un ransomware worm basato sulle superfici Stamp.EK exploit kit e un ransomware worm specifico per il sistema Mac OS X. Negli ultimi 4 mesi dell’anno il CryptoLocker genera circa 5 milioni di dollari in proventi
2015: Le molteplici varianti su diverse piattaforme causano danni economici ancora maggiori

Tipi di ransomware

  • Ransomware di criptazione

Permette di criptare cartelle e file personali (documenti, fogli excel, immagini e video).

I file infettati, una volta che sono stati criptati, vengono cancellati, e gli utenti generalmente ricevono un file di testo con le istruzioni per il pagamento, nella stessa cartella dove si trovano adesso i file inaccessibili.

Si scopre il problema solo quando si cerca di aprire uno di questi file.

Alcuni tipi di encryption software (ma non tutti) bloccano lo schermo del dispositivo infettato:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Lock Screen Ransomware — WinLocker

Blocca il desktop del computer, e richiede il pagamento.

Presenta un’immagine a schermo intero su tutto il desktop, che blocca tutte le altre finestre, impedendo qualsiasi operazione.

Nessun file personale è criptato.

Polyransom2

  • Master Boot Record (MBR) Ransomware

Il Master Boot Record (MBR) fa parte dell’hard drive del computer, e consente al sistema operativo di avviarsi.

Il ransomware MBR cambia il Master Boot Record MBR, o settore di avvio principale del computer, in modo da interrompere il processo di avvio.

Invece sullo schermo appare una richiesta di pagamento di un riscatto.

Master-Boot.jpg

  • Ransomware per criptare server web

Prende di mira i web-server, e cripta un certo numero di file che si trovano sul server stesso.

Le vulnerabilità dei CMS sono spesso sfruttate per diffondere i ransomware sui server.

Ransomware encrypting web servers

  • Ransomware per dispositivi mobili (Android)

I dispositivi mobili (per lo più Android) possono essere infettati eseguendo “downloads drive-by” di programmi da Internet, o da ads, pop-up, etc.”.

Tali dispositivi possono essere infettati anche attraverso false applicazioni, mascherate come servizi ben noti (Adobe Flash o prodotti anti-virus).

Mobile Ransomware

Se sono attaccato, devo pagare il riscatto?

Non è mai consigliabile pagare il riscatto, soprattutto perché questo non garantisce la soluzione del problema. Ci sono anche dei problemi che si possono verificare occasionalmente. Per esempio, potrebbero esserci dei bug nel malware che rendono i file comunque irrecuperabili, anche se viene utilizzata la giusta chiave di decodifica.

Inoltre il pagamento del riscatto è una conferma per i cyber-criminali che il ransomware è efficace. Di conseguenza i criminali proseguiranno la loro attività e cercheranno nuovi modi per sfruttare i sistemi, che li porteranno a infettare ancora più computer e a guadagnare ancor più denaro.

Come funziona un attacco ransomware?

Un attacco ransomware è generalmente compiuto inviando un’e-mail con allegati, che possono essere un file eseguibile, un archivio o un’immagine. Una volta aperto l’allegato, il malware viene rilasciato nel sistema dell’utente. I criminali informatici possono anche inoculare il malware sui siti web. Quando un utente ignaro visita il sito, il malware è rilasciato nel sistema.

L’utente non si accorge immediatamente dell’infezione in quanto il malware opera silenziosamente in background finché non viene impiegato il meccanismo di blocco dei dati o del sistema. A questo punto appare una finestra di dialogo, dove si avvisa l’utente che i suoi dati sono stati bloccati, e si chiede un riscatto per sbloccarli. A quel punto però è troppo tardi per salvare i dati attraverso qualunque misura di sicurezza.

Per maggiori informazioni guardate questo video:

Chi sono le vittime del ransomware?

Qualsiasi utente privato o impresa può essere vittima del ransomware. I criminali informatici non sono selettivi e spesso cercano di colpire quanti più utenti possibili al fine di ottenere i massimi profitti.

Gli attacchi ransomware mirati alle imprese sono in crescita?

Sì, perché i cyber-criminali sanno quali organizzazioni sono più propense a pagare poiché i dati trattenuti spesso sono sensibili e vitali per la continuità dell’impresa. Inoltre spesso è più economico pagare un riscatto che ripristinare i backup.

Perché è così difficile trovare una soluzione unica per ogni tipo di ransomware?

Il fenomeno del ransomware è in crescita. In questo momento sono in circolazione più di 50 famiglie di questo malware, che si evolve velocemente. Ogni nuova variante porta con sé una crittografia più complessa e nuove configurazioni. E’ un fenomeno che non si può più ignorare!

Uno dei motivi per cui è così difficile individuare una soluzione univoca è perché la codifica in sé stessa non è maligna; si tratta infatti di codici utilizzati anche per sviluppare software non malevoli e vengono utilizzati da molti programmi.

Il primo crypto-malware a essere utilizzato e’ un algoritmo a chiave simmetrica, cioè con la stessa chiave utilizzata per la codifica e la decodifica. Le informazioni compromesse con tali algoritmi possono di solito essere decifrate con successo, avvalendosi dell’assistenza e dei prodotti di aziende che operano nel settore della sicurezza informatica. Con il tempo i cyber-criminali hanno incominciato a implementare algoritmi a crittografia asimmetrica, che utilizzano due chiavi distinte: una pubblica per criptare i file e una privata che serve a decriptarli.

Il Trojan CryptoLocker è uno dei ransomware più famosi; anch’esso utilizza un algoritmo a chiave pubblica. Quando un computer viene infettato, si connette al server di comando-e-controllo (C&C) per scaricare la chiave pubblica. La chiave privata è accessibile solo ai criminali che hanno sviluppato il software CryptoLocker. Di solito alla vittima sono concesse al massimo settantadue ore di tempo per pagare il riscatto, prima che la chiave privata per sbloccare i loro dati venga cancellata per sempre e, senza questa chiave, è impossibile decriptare i file.

E’ necessario prima di tutto pensare alla prevenzione. Molti programmi antivirus includono un componente che aiuta ad identificare la minaccia ransomware nelle prime fasi di infezione, senza subire la perdita dei dati. E’ importante che gli utenti si accertino che questa funzione sia attivata nel loro programma antivirus.

Quali possibilità ci sono di aiutare le vittime del ransomware a riottenere l’accesso ai propri file infettati?

Il progetto “No More Ransom” è appena iniziato ma stiamo lavorando continuamente, insieme alle forze dell’ordine e ad aziende che si occupano di sicurezza informatica, per identificare quante più chiavi o varianti possibili. Se avete informazioni che pensate possano essere d’aiuto, condividetele con noi.

Che cos’è Crypto Sheriff e come posso utilizzarlo?

Crypto Sheriff è uno strumento sviluppato appositamente per aiutarci a definire il tipo di ransomware che ha infettato il vostro dispositivo. Questo ci consentirà di verificare se esiste una soluzione disponibile. Guardate il video qui sotto per vedere come funziona:

Il mio strumento di decriptazione non funziona, anche se sono sicuro di stare utilizzando lo strumento giusto - perché?

Può succedere. A volte disponiamo solamente di un sottoinsieme di chiavi; continuate quindi a consultare il nostro sito.

Quando è possibile decriptare file che sono stati in precedenza criptati con un ransomware?

E’ possibile nei casi:

  • Gli autori del malware hanno fatto un errore d’implementazione ed è possibile forzare la codifica. E’ il caso, per esempio, dei ransomware Petya e CryptXXX.
  • Gli autori del malware si pentono delle loro azioni e pubblicano le chiavi oppure rilasciano una master key, come nel caso di TeslaCrypt.
  • Le forze dell’ordine sequestrano un server sul quale sono contenute le chiavi e le condividono. Un esempio è il caso di CoinVault.


A volte funziona anche pagando il riscatto non ci sono garanzie che pagando vedrete decriptati i vostri file. Così facendo contribuirete a rendere più forte un modello economico criminale e, di conseguenza, vi renderete responsabili dell’ulteriore diffusione del ransomware e della contaminazione di un numero sempre maggiore di dispositivi.

Perché abbiamo deciso di avviare l’iniziativa No More Ransom?

Non è un segreto che il ransomware il quale cripta i dati sui sistemi degli utenti per poi chiedere un riscatto, sia diventato un grande problema per la sicurezza informatica negli ultimi anni. Si è diffuso così rapidamente da potersi definire un fenomeno epidemico. Le vittime del ransomware stanno lievitando. Il numero degli utenti colpiti tra aprile 2015 e marzo 2016 è di 718.000 con un aumento di 5,5 volte rispetto allo stesso periodo negli anni 2014-2015.

La polizia da sola non può combattere il cyber-crime e il ransomware in particolare. D’altra parte i ricercatori nel settore della sicurezza informatica non possono farlo senza il supporto delle forze dell’ordine. La responsabilità della lotta contro il ransomware è condivisa tra le forze di polizia, le autorità giudiziarie, Europol e le aziende che si occupano di sicurezza informatica; è quindi necessario uno sforzo congiunto. Insieme, faremo tutto quanto è in nostro potere per contrastare i piani criminali volti a ottenere proventi illegali e per restituire i file ai loro legittimi proprietari, senza che questi debbano pagare alcuna somma di denaro.

Vi sono iniziative simili nel mio paese?

«No More Ransom» è un’iniziativa internazionale che dimostra il valore della cooperazione tra il pubblico ed il privato nell’intraprendere azioni concrete contro il cyber-crime; questa collaborazione spazia oltre i confini geografici. Lo scopo principale del progetto è quello di condividere le conoscenze ed educare gli utenti di tutto in tutto il mondo su come prevenire gli attacchi ransomware. Riteniamo che questo potrebbe contribuire a riparare il danno subìto dalle vittime a livello globale. Ripristinando l’accesso ai loro sistemi, aiutiamo gli utenti mostrando loro che hanno a disposizione misure alternative al pagamento del riscatto.

Il portale, nella sua fase iniziale, contiene quattro strumenti di decriptazione per diversi tipi di malware. Tutti gli strumenti disponibili sul sito web sono gratuiti e accessibili in ogni parte del mondo a qualsiasi utente che sia stato infettato da uno dei malware indicati sul sito.