Per ransomware (definito anche cryptovirus, cryptotrojan, cryptoworms o scarware) si intende una classe di malware che limita l'accesso e l'utilizzo dei computer infettati. I pirati informatici che hanno realizzato questo malware sfruttano le insicurezze e le preoccupazioni degli utenti inesperti, ponendoli di fronte a messaggi allarmanti che minano la sicurezza informatica del proprio pc.
Dopo l'infezione il computer è praticamente inutilizzabile e, al posto del solito sfondo, compare un avviso della Polizia o di un'altra organizzazione di sicurezza. Il testo vi avvisa di una qualche infrazione e vi intima di pagare un cifra piuttosto elevata (200 dollari o 100 euro) entro poche ore per ottenere la password che sbloccherà il computer. Insomma, è come se chiedessero un riscatto (che in inglese si dice ransom, da cui il nome ransomware) per tornare in pieno possesso del computer. Naturalmente, non si deve pagare nulla, dato che non si è commesso nessun reato.
Come rimuovere ransomware
Se il vostro computer dovesse essere infettato dal cosiddetto virus della Polizia (o della Guardia di Finanza, a seconda del logo mostrato nell'avviso), ci sono alcuni rimedi che possono tornarvi utili. Due li fornisce il Nucleo GAT della Guardia di Finanza, sia per una vecchia versione del malware, sia per una più aggiornata. Per rimuovere un virus di tipo ransomware esiste anche un altro metodo, molto più radicale, che prevede il ripristino del computer a una versione precedente e funzionante del sistema. Attenzione, però, questa operazione richiede una certa dimestichezza.
Avviate il computer in Modalità provvisoria con Prompt dei comandi e, non appena compare la finestra del terminale, digitate cd restore e premete Invio, poi rstrui.exe e ancora Invio.
A questo punto dovrebbe aprirsi la finestra per il Ripristino del Sistema: scegliete una delle versioni precedenti all'infezione e, una volta effettuata questa operazione, fate una bella scansione antivirus del vostro pc.
La storia dei ransomware
Il primo ransomware conosciuto è datato 1989 e venne denominato "PC Cyborg", poiché i pagamenti erano diretti a una fantomatica "PC Cyborg Corporation". Il trojan era stato realizzato da Joseph Popp e, lamentando la scadenza della licenza di un non meglio specificato software, bloccava il funzionamento del computer. Per sbloccarlo, gli utenti dovevano pagare la bellezza di 189 dollari. Da allora le tecniche per la creazione di ransomware hanno fatto enormi passi in avanti, mettendo sempre più a rischio la sicurezza informatica dei computer di mezzo mondo. Le chiavi crittografiche utilizzate dai pirati informatici per bloccare i computer sono sempre più sofisticate e, grazie a tecniche che potremmo definire di geolocalizzazione, il messaggio che annuncia il blocco del computer compare sempre nella lingua madre del malcapitato.
La diffusione dei ransomware
Nonostante i tentativi di arginare il fenomeno dei ransomware, le cifre rilevate da Kaspersky Lab tracciano i contorni di uno scenario piuttosto complesso e preoccupante. Secondo il malware report relativo al I trimestre 2016, il numero di nuove varianti ransomware è passato dai circa 12mila del IV trimestre 2015 ai 15 mila di marzo 2016: una crescita del 14% che ha fatto scattare l'allarme di molti esperti in sicurezza informatica.
Alla crescita numerica, infatti, è corrisposta anche una crescita del volume degli attacchi ransomware, divenuti ora la prima minaccia informatica in assoluto. Tra i mesi di gennaio e marzo 2016 gli strumenti di sicurezza informatica Kaspersky hanno evitato oltre 350 mila infezioni ransomware, mentre il numero di internauti rimasti vittima di attacchi è cresciuta del 30% rispetto ai mesi ottobre-dicembre 2015.
In questo primo scorcio del 2016, Locky è stato il ransomware più pericoloso e diffuso. Ancora attivo a inizio maggio 2016, Locky ha infettato computer in 114 Paesi, costringendo centinaia di migliaia di utenti a rinunciare ai loro dati. Altrettanto interessante il comportamento di Petya, malware in grado di crittografare i dati presenti nell'hard disk e riscrivere i settori del Master boot record del disco rigido. In questo modo l'utente non solo non può accedere ai propri dati personali ma non può neanche avviare il sistema operativo. Il computer, insomma, è inutilizzabile o quasi. Le tre principali famiglie di ransomware del primo trimestre sono state: Teslacrypt (58,4%), CTB-Locker (23,5%) e Cryptowall (3,4%). Tutte e tre si propagano principalmente tramite email di spam con allegati nocivi o link a pagine web infette.
Come si diffondono i ransomware
Il canale di diffusione primario di questa infezione sono i banner pubblicitari presenti nei siti con contenuti per adulti. Il metodo più sicuro per evitare di essere infettati, quindi, è di non cliccare su avvisi di questo genere. Ma i siti con contenuti hot non sono il solo veicolo dell'infezione: i ransomware sfruttano anche falle in programmi come Java, Adobe Flash, Adobe Acrobat, Windows e vari browser. Per questo è d'obbligo aggiornare sia il sistema operativo che gli altri software presenti nel nostro computer. Solamente agendo in questo modo manterremo alti livelli di sicurezza informatica nei nostri dispositivi.
L'evoluzione dei Ransomware
Con il passare degli anni, i ransomware sono andati incontro a una naturale "evoluzione" per continuare a colpire ignari utenti ed estorcere loro denaro. In una ricerca Fox-IT risalente a settembre 2015 si individuano tre macrofamiglie all'interno delle quali è possibile inserire tutte le varie minacce informatiche che portano al pagamento di un riscatto: CryptoWall, CTB-Locker e TorrentLocker.
Le minacce CryptoWall sfruttano avanzati algoritmi di crittografia per rendere inaccessibili sia i file presenti nel disco rigido dell'utente, sia i dati salvati su qualunque periferica di archiviazione dati collegata al computer infetto (chiavette USB e hard disk esterni). Le chiavi crittografiche non sono più create all'interno del computer infetto, ma sono "ideate" e ospitate direttamente nei server delle organizzazioni che lanciano l'attacco: i file sono crittografati utilizzando chiavi AES simmetriche, a loro volta crittografate utilizzando un algoritmo RSA-2048.
Le minacce CTB-locker (dove CTB sta per curve-TOR-BitCoin) sono così chiamate perché i pirati informatici sfruttano una particolare tecnica crittografica (la crittografia a curva ellittica) per "bloccare" i dati presenti nell'hard disk dell'internauta infettato, mentre il server attaccante è nascosto all'interno di una rete TOR, così da assicurare il più completo anonimato agli hacker. I BitCoin, invece, sono la moneta di scambio utilizzata per il pagamento del riscatto e il "rilascio" dei dati e file presenti nel computer.
Con un attacco TorrentLocker, infine, i pirati informatici riescono ad accedere anche alla rubrica del client di posta elettronica, così da diffondersi nel web tramite un'articolata campagna spam. Dalla ricerca Fox-IT emerge che una singola infezione ransomware appartenente a questa famiglia ha "prodotto" un database di 2,6 milioni di indirizzi di posta elettronica: numeri degni dei maggiori attacchi spam mai condotti nella storia di Internet.
Minaccia mobile
Dal 2014 i ransomware stanno migrando da piattaforme "fisse" (computer e laptop) a piattaforme mobili (smartphone e tablet). L'obiettivo preferito, come spesso capita in caso di malware mobili, sono i dispositivi Android. Diverse le modalità di attacco ideate da hacker e pirati informatici: si va dai malware mascherati da applicazione pornografica ad applicazioni apparentemente "legittime" ma contenenti codice malevolo. Qualunque sia la tecnica utilizzata, dopo l'installazione il ransomware otterrà i privilegi di amministratore del dispositivo e impedirà all'utente di accedere a file, app e funzionalità del dispositivo mobile.
Una minaccia in costante crescita, con malware sempre più sofisticati e potenti. Se fino a qualche tempo fa era sufficiente accedere in modalità provvisoria nel proprio smartphone Android e disinstallare l'app contenente codice malevolo, oggi il ransomware mobile modifica il codice di sblocco del cellulare, costringendo così l'utente a resettare il dispositivo. Se si vogliono indietro file, documenti e foto, insomma, si è costretti a pagare.
4 aprile 2013 (aggiornato 10 novembre 2015)