Virus Ransomware: se ne sente parlare molto ultimamente, ma non tutti
sanno di cosa si tratta. In questo articolo vogliamo fare chiarezza
sulla natura di questi virus e sui danni che possono causare quanto
infettano un computer. I virus di questo genere sono stati concepiti
allo scopo di estorcere denaro agli utenti ignari. Non a caso, il
termine “ransom” significa proprio “riscatto”: una volta infettato il
computer bersaglio tramite una finta e-mail informativa proveniente da
grandi società dal nome conosciuto e contenente il malware in allegato,
i virus Ransomware, appartenenti ad una famiglia di virus capace di
replicarsi automaticamente tra i PC delle vittime, criptano tutte le
cartelle rendendo i file e i documenti inaccessibili. Cosa succede dopo
l’avvenuto attacco al PC di un utente da parte di un Ransomware
(cryptovirus)? A questo punto, i criminali informatici, cioè i creatori
del cryptovirus, inviano un messaggio sul monitor del computer infetto
con le indicazioni e la somma da corrispondere per il ripristino dei
file. Il fenomeno è purtroppo molto allarmante, poiché molti utenti
tendono a pagare il riscatto alimentando un business da milioni di
dollari in tutto il mondo. Va inoltre detto che, una volta pagata la
cifra richiesta dagli hacker, non vi è la garanzia di riavere i propri
file, anzi, sono più le volte in cui l’utente paga senza ricevere le
chiavi di decriptazione promesse e necessarie per sbloccare i file
tenuti “in ostaggio”. Affinché il criminale informatico non venga
scoperto al momento della riscossione e arrestato, il pagamento del
riscatto viene richiesto in Bit Coin, una sorta di moneta elettronica
utilizzabile in forma anonima e impossibile da tracciare. Se il
pagamento da parte dell’utente non avviene in tempi brevi, la somma
richiesta per il ripristino dei file aumenta arrivando anche a migliaia
di euro. Al di là del danno concreto sul PC dell’utente, si pone anche
la questione etica: pagare il riscatto andrebbe ad alimentare il
business delle Bit Coin, una valuta che si presta perfettamente per gli
scopi illeciti, fungendo da finanziamento per la creazione di versioni
di Ransomware ancora più potenti e difficili da contrastare.
Decriptare i Ransomware è possibile?
Per fortuna, pagare il riscatto non è sempre necessario. Per eliminare
il virus e “curare” il PC bisogna individuare le chiavi di decriptazione
dei file contenute solitamente in un codice di 16 cifre di cui solo
l’hacker è a conoscenza. In teoria, il primo scoglio per l’utente è
costituito dalla mancanza delle competenze informatiche e matematiche
necessarie per trovare la giusta chiave di decifrazione. Supponiamo
invece che l’utente sia dotato di grandi capacità matematiche e di
calcolo: anche nelle migliori condizioni, un tradizionale computer
potrebbe impiegare dai 3 ai 4 anni per individuare e testare tutte le
combinazioni possibili.
Fortunatamente, contestualmente alla diffusione dei cryptovirus, abbiamo
assistito alla nascita di aziende specializzate nell’eliminazione dei
Ransomware: grazie all’impiego di speciali server con grandi capacità di
calcolo, queste aziende possono recuperare i file cifrati in poche ore o
in pochi giorni. Il processo di recupero non è privo di difficoltà: i
cryptovirus vengono periodicamente aggiornati dai loro creatori e
rinascono in versioni aggiornate ancora più difficili da decriptare. In
questo caso, il server dovrà ricominciare cercando il punto debole del
cryptovirus.
In questo scenario, in cui un grande numero di società informatiche si
sta specializzando nella decriptazione dei Ransomware, esistono delle
web agency che consentono all’utente di pagare la prestazione di
recupero dei dati persi solo quando i file sono effettivamente stati
decifrati. Vediamo le ragioni per cui questo aspetto è fondamentale.
La scelta della giusta azienda di decriptazione
Nel momento in cui vengono creati, i Ransomeware sono inizialmente
impossibili da decriptare, anche per i server più potenti. Se
consideriamo questo aspetto, è facile comprendere l’importanza di
trovare una ditta di decriptazione che permetta di pagare solo dopo aver
effettivamente decifrato i file bloccati. Purtroppo, sono ancora molti
gli utenti che scelgono di pagare il riscatto ai criminali informatici
credendo ingenuamente di riavere i propri file. Ma la realtà è
differente e, in molti casi, dopo aver pagato la cifra richiesta dagli
sviluppatori del cryptovirus, l’utente non riceve le chiavi di
decriptazione promesse. Secondo uno studio statistico condotto da una
delle aziende che attualmente si occupano di decriptare i Ransomeware,
Openfile, sei utenti su dieci
pagano il riscatto senza ottenere le chiavi necessarie per sbloccare i
file “in ostaggio”. Un tecnico analista di Openfile spiega: “questo
fenomeno ha dei risvolti allarmanti perché un gran numero di utenti si
trova spesso nella condizione di pagare due volte, la prima per il
riscatto, e di solito questa fase non va mai a buon fine, la seconda per
il ripristino effettivo dei file tramite il nostro laboratorio
specialistico”. “Il consiglio che mi sento di dare agli utenti”,
continua l’operatore, “è quello di rivolgersi ad un’agenzia affidabile e
competente che richieda il pagamento solo dopo aver dato prova della
reale possibilità di decifrare i file. È proprio in questo modo che
operiamo noi di Openfile, richiedendo il pagamento al cliente solo dopo
esserci accertati di possedere la chiave adatta per la decriptazione dei
suoi file”.
È molto importante che gli utenti capiscano che, al fine di contrastare
la diffusione di questo fenomeno, bisogna ricorrere alle competente
specifiche di tecnici operanti in agenzie come Openfile. Ma esiste un
modo per prevenire gli attacchi al computer da parte dei cryptovirus?
Come prevenire i cryptovirus
Sebbene vengano progettati in forme e versioni sempre più infide, i
cryptovirus si possono evitare con l’astuzia: solitamente, i Ransomeware
vengono trasferiti sul PC della vittima quando questa apre il file in
allegato nella e- mail – si tratta spesso di fatture fasulle identiche a
quelle reali allegate ad e-mail del tutto credibili – ed infettano il PC
fino a rendere tutti i file illeggibili. Per evitare che questa
eventualità si verifichi, l’utente deve controllare la provenienza della
e-mail – e quindi l’indirizzo da cui è stata spedita – prima di cliccare
sull’allegato. Si può al limite contattare il servizio clienti della
società indicata per verificare la reale esistenza del documento in
questione.
È altresì importante ricorrere ai sistemi di backup per avere una copia
dei propri file, specialmente all’interno di realtà aziendali che
gestiscano un numero elevato di documenti sensibili.