Ransomware
adminArticolo pubblicato su "Il Quotidiano del Molise" del 14-12-2015
(“Una famiglia di ricattatori”)
Bentrovati! Tempo addietro abbiamo trattato di un pericolosissimo virus in grado di infettare un computer rendendo illeggibili numerosi tipi di file memorizzati sul suo hard disk: il “CryptoLocker”. Questo particolarissimo virus appartiene ad una nuova “famiglia” di malware conosciuta col nome di “Ransomware”.
Un Ransomware (dall’inglese “Ransom” – “Riscatto”) è un programma malevolo progettato per estorcere denaro alle sue vittime.
Le prime tipologie di Ransomware, come “Cryptolocker”, “Cryptowall” o “TorrentLocker” si presentavano sotto forma di fatture allegate direttamente ad una e-mail.
Successivamente, queste pericolose e-mail hanno cominciato a diffondere il malware prima utilizzando codici di tracking di Corrieri Espresso (come FedEX, DHL, UPS ed SDA) e poi con finte bollette dell’Enel e di operatori telefonici (come TIM, Tre, Vodafone e Wind).
Il primo Ransomware fu ideato da un certo Joseph Popp nel 1989 e fu chiamato “AIDS”. AIDS mostrava all’utente un messaggio in cui avvisava che la licenza di un qualche software installato sul dispositivo infetto era scaduta. Quindi, criptava i file dell'hard disk chiedendo di pagare 189 dollari di riscatto.
Dal 2005 in poi, alcune estorsioni attuate attraverso virus di questo tipo, divennero celebri e nomi come “Gpcode”, “TROJ.RANSOM.A”, “Archiveus”, “Krotten”, “Cryzip” e “MayArchive” diventarono l’incubo peggiore di molti internauti, utilizzando sofisticati schemi di criptazione di tipo RSA!
Verso la fine del 2013, i Ransomware ritornarono di moda grazie alla diffusione di CryptoLocker, il quale, a sua volta, ha ispirato la creazione di altri virus simili come “CryptoLocker 2.0” e “CryptoDefense”.
Da giugno 2014 è in circolazione “CTB-Locker”, l’ultima evoluzione del Ransomware, il cui nome deriva da “Curve”, “Tor” e “Bitcoin”, perché si serve delle curve ellittiche per la crittografia, della rete Tor per comunicare con i server per blindare i file e della tecnologia Bitcoin per il pagamento del riscatto.
I Ransomware iniziarono a diffondersi dapprima solo in Russia, poi in tutto il mondo tanto che, oggi, se ne contano diverse migliaia! Il virus utilizza algoritmi crittografici, particolarmente resistenti e sempre diversi, che rendono illeggibili documenti, e-mail, foto e filmati presenti sul dispositivo infettato. I file non vengono cancellati, ma resi semplicemente illeggibili ed inservibili all’utente!
In alcuni casi, un Ransomware è addirittura in grado di bloccare totalmente un computer, un tablet o uno smartphone! Per riscattare le informazioni personali (o lo stesso dispositivo), che sono stati presi “in ostaggio”, l’utente deve eseguire il pagamento di una certa somma di danaro su un conto estero ed entro un certo arco di tempo. Spesso, i criminali che utilizzano il Ransomware, chiedono che il pagamento avvenga con una moneta virtuale, difficilmente tracciabile, conosciuta negli ambienti “underground” col nome di “Bitcoin”. Una volta pagato il riscatto, la vittima dovrebbe (ed il condizionale è d’obbligo!) ricevere un codice capace di decifrare i file infettati.
Fino ad oggi, il malware può essere facilmente rimosso, ma anche se non è né “resistente” e né “rigenerante”, non è escluso che, in futuro, esso possa subire evoluzioni tali da renderlo particolarmente aggressivo, performante e difficile da individuare e rimuovere! Ciò che, invece, sembra non aver ancora soluzione sono gli effetti che produce: i file che sono stati crittografati rimangono tali anche dopo che il virus è stato definitivamente rimosso, nonostante sia in corso una grande raccolta di codici crittografici da parte delle più grandi aziende che producono antivirus (conosciuta come progetto “Tovar”). Utilizzando algoritmi crittografici molto forti e sempre diversi, risulta difficile (se non impossibile), eliminare la protezione che rende illeggibili i file infettati. Le prime versioni permettevano un parziale recupero di questi file operando sulle loro “copie shadow”; copie che, oggi, vengono distrutte dalle nuove versioni del virus!
Il Nuovo Corso di Sicurezza Informatica per utente, a cui è possibile iscriversi chiamando lo 0865.299728, tra i suoi argomenti, analizzerà proprio le caratteristiche dei Ransomware, offrendo una formazione che permetta di prevenire una simile e pericolosa infezione!
I-Forensics Team
