login LOGIN
CHIUDI chiudi
Il mio profilo
ACCEDI CON MYFASTWEB

mostra
Non sei registrato? Crea un account
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.
Torna alla form di Login
Non sei registrato? Crea un account

Ransomware, come eliminare il virus della Polizia

Malware che bloccano l'accesso al computer, sono conosciuti in Italia anche come virus della Polizia o virus della Guardia di Finanza

Una schermata di un utente italiano con computer bloccato

 

Per ransomware (definito anche cryptovirus, cryptotrojan, cryptoworms o scarware) si intende una classe di malware che limita l'accesso e l'utilizzo dei computer infettati. I pirati informatici che hanno realizzato questo malware sfruttano le insicurezze e le preoccupazioni degli utenti inesperti, ponendoli di fronte a messaggi allarmanti che minano la sicurezza informatica del proprio pc.

 

Alcune schermate con avvisidi statunitensi e tedeschi

 

Dopo l'infezione il computer è praticamente inutilizzabile e, al posto del solito sfondo, compare un avviso della Polizia o di un'altra organizzazione di sicurezza. Il testo vi avvisa di una qualche infrazione e vi intima di pagare un cifra piuttosto elevata (200 dollari o 100 euro) entro poche ore per ottenere la password che sbloccherà il computer. Insomma, è come se chiedessero un riscatto (che in inglese si dice ransom, da cui il nome ransomware) per tornare in pieno possesso del computer. Naturalmente, non si deve pagare nulla, dato che non si è commesso nessun reato.

Come rimuovere ransomware

Se il vostro computer dovesse essere infettato dal cosiddetto virus della Polizia (o della Guardia di Finanza, a seconda del logo mostrato nell'avviso), ci sono alcuni rimedi che possono tornarvi utili. Due li fornisce il Nucleo GAT della Guardia di Finanza, sia per una vecchia versione del malware, sia per una più aggiornata. Per rimuovere un virus di tipo ransomware esiste anche un altro metodo, molto più radicale, che prevede il ripristino del computer a una versione precedente e funzionante del sistema. Attenzione, però, questa operazione richiede una certa dimestichezza.

 

 

Avviate il computer in Modalità provvisoria con Prompt dei comandi e, non appena compare la finestra del terminale, digitate cd restore e premete Invio, poi rstrui.exe e ancora Invio.

 

 

A questo punto dovrebbe aprirsi la finestra per il Ripristino del Sistema: scegliete una delle versioni precedenti all'infezione e, una volta effettuata questa operazione, fate una bella scansione antivirus del vostro pc.

La storia dei ransomware

Il primo ransomware conosciuto è datato 1989 e venne denominato "PC Cyborg", poiché i pagamenti erano diretti a una fantomatica "PC Cyborg Corporation". Il trojan era stato realizzato da Joseph Popp e, lamentando la scadenza della licenza di un non meglio specificato software, bloccava il funzionamento del computer. Per sbloccarlo, gli utenti dovevano pagare la bellezza di 189 dollari. Da allora le tecniche per la creazione di ransomware hanno fatto enormi passi in avanti, mettendo sempre più a rischio la sicurezza informatica dei computer di mezzo mondo. Le chiavi crittografiche utilizzate dai pirati informatici per bloccare i computer sono sempre più sofisticate e, grazie a tecniche che potremmo definire di geolocalizzazione, il messaggio che annuncia il blocco del computer compare sempre nella lingua madre del malcapitato.

La diffusione dei ransomware

Nonostante i tentativi di arginare il fenomeno dei ransomware, le cifre rilevate da Kaspersky Lab tracciano i contorni di uno scenario piuttosto complesso e preoccupante. Secondo il malware report relativo al I trimestre 2016, il numero di nuove varianti ransomware è passato dai circa 12mila del IV trimestre 2015 ai 15 mila di marzo 2016: una crescita del 14% che ha fatto scattare l'allarme di molti esperti in sicurezza informatica.

Alla crescita numerica, infatti, è corrisposta anche una crescita del volume degli attacchi ransomware, divenuti ora la prima minaccia informatica in assoluto. Tra i mesi di gennaio e marzo 2016 gli strumenti di sicurezza informatica Kaspersky hanno evitato oltre 350 mila infezioni ransomware, mentre il numero di internauti rimasti vittima di attacchi è cresciuta del 30% rispetto ai mesi ottobre-dicembre 2015.

 

Minaccia ransomware

 

In questo primo scorcio del 2016, Locky è stato il ransomware più pericoloso e diffuso. Ancora attivo a inizio maggio 2016, Locky ha infettato computer in 114 Paesi, costringendo centinaia di migliaia di utenti a rinunciare ai loro dati. Altrettanto interessante il comportamento di Petya, malware in grado di crittografare i dati presenti nell'hard disk e riscrivere i settori del Master boot record del disco rigido. In questo modo l'utente non solo non può accedere ai propri dati personali ma non può neanche avviare il sistema operativo. Il computer, insomma, è inutilizzabile o quasi. Le tre principali famiglie di ransomware del primo trimestre sono state: Teslacrypt (58,4%), CTB-Locker (23,5%) e Cryptowall (3,4%). Tutte e tre si propagano principalmente tramite email di spam con allegati nocivi o link a pagine web infette.  

Come si diffondono i ransomware

Il canale di diffusione primario di questa infezione sono i banner pubblicitari presenti nei siti con contenuti per adulti. Il metodo più sicuro per evitare di essere infettati, quindi, è di non cliccare su avvisi di questo genere. Ma i siti con contenuti hot non sono il solo veicolo dell'infezione: i ransomware sfruttano anche falle in programmi come Java, Adobe Flash, Adobe Acrobat, Windows e vari browser. Per questo è d'obbligo aggiornare sia il sistema operativo che gli altri software presenti nel nostro computer. Solamente agendo in questo modo manterremo alti livelli di sicurezza informatica nei nostri dispositivi.

L'evoluzione dei Ransomware

Con il passare degli anni, i ransomware sono andati incontro a una naturale "evoluzione" per continuare a colpire ignari utenti ed estorcere loro denaro. In una ricerca Fox-IT risalente a settembre 2015 si individuano tre macrofamiglie all'interno delle quali è possibile inserire tutte le varie minacce informatiche che portano al pagamento di un riscatto: CryptoWall, CTB-Locker e TorrentLocker.

Le minacce CryptoWall sfruttano avanzati algoritmi di crittografia per rendere inaccessibili sia i file presenti nel disco rigido dell'utente, sia i dati salvati su qualunque periferica di archiviazione dati collegata al computer infetto (chiavette USB e hard disk esterni). Le chiavi crittografiche non sono più create all'interno del computer infetto, ma sono "ideate" e ospitate direttamente nei server delle organizzazioni che lanciano l'attacco: i file sono crittografati utilizzando chiavi AES simmetriche, a loro volta crittografate utilizzando un algoritmo RSA-2048.

 

Computer bloccato

 

Le minacce CTB-locker (dove CTB sta per curve-TOR-BitCoin) sono così chiamate perché i pirati informatici sfruttano una particolare tecnica crittografica (la crittografia a curva ellittica) per "bloccare" i dati presenti nell'hard disk dell'internauta infettato, mentre il server attaccante è nascosto all'interno di una rete TOR, così da assicurare il più completo anonimato agli hacker. I BitCoin, invece, sono la moneta di scambio utilizzata per il pagamento del riscatto e il "rilascio" dei dati e file presenti nel computer.

Con un attacco TorrentLocker, infine, i pirati informatici riescono ad accedere anche alla rubrica del client di posta elettronica, così da diffondersi nel web tramite un'articolata campagna spam. Dalla ricerca Fox-IT emerge che una singola infezione ransomware appartenente a questa famiglia ha "prodotto" un database di 2,6 milioni di indirizzi di posta elettronica: numeri degni dei maggiori attacchi spam mai condotti nella storia di Internet.

Minaccia mobile

Dal 2014 i ransomware stanno migrando da piattaforme "fisse" (computer e laptop) a piattaforme mobili (smartphone e tablet). L'obiettivo preferito, come spesso capita in caso di malware mobili, sono i dispositivi Android. Diverse le modalità di attacco ideate da hacker e pirati informatici: si va dai malware mascherati da applicazione pornografica ad applicazioni apparentemente "legittime" ma contenenti codice malevolo. Qualunque sia la tecnica utilizzata, dopo l'installazione il ransomware otterrà i privilegi di amministratore del dispositivo e impedirà all'utente di accedere a file, app e funzionalità del dispositivo mobile.

 

Ransomware Android

 

Una minaccia in costante crescita, con malware sempre più sofisticati e potenti. Se fino a qualche tempo fa era sufficiente accedere in modalità provvisoria nel proprio smartphone Android e disinstallare l'app contenente codice malevolo, oggi il ransomware mobile modifica il codice di sblocco del cellulare, costringendo così l'utente a resettare il dispositivo. Se si vogliono indietro file, documenti e foto, insomma, si è costretti a pagare.

 

4 aprile 2013 (aggiornato 10 novembre 2015)

A cura di Cultur-e
Canva
Canva
Impara ad usare questo utile strumento di progettazione grafica online
Iscriviti al corso gratuito!

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati. Leggi l'informativa