Si chiamava DocEncrypter ed era un malware di “nuova generazione”, scoperto sul finire del 2012, capace di rendere inaccessibili i file DOC archiviati negli hard disk delle vittime. Da allora, questa tipologia di malware venne classificata come “ransomware” (dall’inglese “ransom”, riscatto), a indicare quei virus che, dopo aver infettato il sistema operativo, criptano i file dell’utente bloccandone l’accesso fino a quando non paga il riscatto richiesto dai cybercriminali creatori del virus.

Nella maggior parte dei casi la diffusione dei ransomware avviene attraverso email fasulle (le più diffuse usano i loghi di famosi corrieri come SDA e DHL, oppure quelli di Equitalia e TIM) che fungono da “cavallo di Troia” e invitano il destinatario a cliccare su un link o ad aprire un file allegato. Queste email, come i file ad esse allegati, sono generati e veicolati attraverso una botnet, ossia un insieme di server coordinati tra loro e dislocati in tutto il mondo che spediscono migliaia di messaggi simili ma con link e allegati diversificati. Solo in alcuni casi particolarmente fortunati, quindi, l’antivirus in uso sarà in grado di bloccare l’esecuzione di ogni specifico file generato dinamicamente sui server della botnet. Il più delle volte, non essendo riconosciuto come una minaccia, il blocco dei file si scatenerà indisturbato. L’unico modo per proteggersi è installare una sentinella in grado di segnalare e prevenire un possibile attacco come Malwarebytes Anti-Ransomware e poi, in caso di minaccia individuata e bloccata, ricorrere agli strumenti di rimozione integrati in Avast Free Ransomware Decryption Tools per debellarla definitivamente.

Caratteristiche peculiari dei ransomware
I ransomware sono generalmente dei ” malware mutanti “. La loro mutazione si ottiene attraverso l’attivazione di file totalmente diversi dal medesimo link a intervalli di tempo molto ravvicinati, anche nell’ordine del quarto d’ora. Da questi link vengono scaricati i file che potranno scatenare la crittografia dei dati o, in alternativa, l’attacco di altre tipologie di virus quali dropper, rootkit eccetera. Di fatto, con una frequenza di mutazione e distribuzione così ravvicinata, nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme di identificazione), sarà ragionevolmente in grado di bloccare preventivamente.
Hanno inoltre un periodo di incubazione praticamente nullo . L’attivazione del ransomware produce immediatamente gli effetti malevoli e dannosi come il blocco dei file di uso più comune quali DOC, XLS, MDB, JPG eccetera e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso.
I dati vengono crittografati con algoritmi estremamente sofisticati come AES o RSA, con chiavi da un minimo di 128/256 bit fino ad arrivare a 2.048 bit o più, rendendoli, di fatto, praticamente irrecuperabili.
Richiedono un riscatto , in molti casi in Bitcoin, attraverso la rete anonima Tor. Visto il notevole ritorno economico, quindi, i creatori del cryptomalware hanno tutto l’interesse a variare i file portatori del malware con la massima velocità in modo che alcun software antivirus, antispyware e antimalware possa intercettarli preventivamente.

Una sentinella per prevenire i sequestri
Malwarebytes Anti-Ransomware monitora in tempo reale tutte le attività del computer rilevando e bloccando automaticamente le azioni sospette tipiche di un ransomware.
Dal forum ufficiale di Malwarebytes scarichiamo l’ultima versione del software (si tratta di una versione beta rilasciata solo per scopi di test) e installiamolo con un doppio clic sul file MBARW_Setup.exe . Al termine il programma attiverà automaticamente la protezione del PC.


Malwarebytes Anti-Ransomware non richiede alcun tipo di configurazione. Cliccando sulla sua icona nell’area di notifica di Windows possiamo accedere alla Dashboard . Da qui controlliamo se la protezione è attiva ed eventualmente possiamo interromperla cliccando Stop Protection .


Il tool riesce a bloccare ransomware come CryptoWall, CryptoLocker, Tesla e CTB-Locker. Quelli bloccati sono elencati nel tab Quarantine da cui potranno essere eliminati o ripristinati. In Exclusions invece possiamo specificare i file che non vogliamo vengano rilevati come malevoli.


Come rimuovere i ransomware dal PC
Ricorrendo ai Free Ransomware Decryption Tools di Avast possiamo invece eliminare i più pericolosi cryptomalware che risultano già annidati nel PC. È sufficiente avviare il tool di rimozione specifico per il virus che si vuole eliminare e lasciare che faccia il suo compito. Analizziamoli più da vicino per capire quale tool bisogna usare a seconda del ransomware che ci ha infettati (possiamo riconoscerli facilmente dall’estensione utilizzata per criptare i file – o dal comportamento – e dal messaggio di riscatto visualizzato a schermo).

Alcatraz Locker – Se si è vittima di questo ransomware i file crittografati presenteranno estensione .Alcatraz . Dopo che i file sono stati crittografati, viene visualizzato il messaggio di avvenuta infezione.
Scarica il tool di rimozione da qui .


Apocalypse – Aggiunge .encrypted , .FuckYourData , .locked , .Encryptedfile o .SecureCrypted in coda al nome dei file (ad esempio, Tesi.doc diventa Tesi.doc.locked ). Se si apre un file con estensione .How_To_Decrypt.txt , .README.txt , .Contact_Here_To_Recover_Your_Files.txt , .How_to_Recover_Data.txt o .Where_my_files.txt (ad esempio Tesi.doc.How_To_Decrypt.txt ) viene visualizzata la richiesta di riscatto.
Scarica i tool di rimozione da qui e da qui .


BadBlock – Questo ransomware non rinomina i file come fanno gli altri. Eseguita la crittografia dei dati personali, BadBlock visualizza il messaggio di avvenuta infezione copiandolo dal file di testo Help Decrypt.html archiviato sul desktop.
Scarica i tool di rimozione per Windows a 32-bit e Windows a 64-bit .


Bart – Aggiunge .bart.zip in coda al nome dei file (ad esempio Tesi.docx.bart.zip ). Si tratta di archivi ZIP crittografati in cui sono contenuti i file originali. Dopo aver crittografato i file, Bart sostituisce lo sfondo del desktop con una sua immagine. Il file dell’immagine viene salvato sul desktop, con un nome simile a recover.bmp e recover.txt .
Scarica il tool di rimozione da qui .


Crypt888 – Aggiunge Lock. all’inizio del nome dei file (ad esempio Lock.Tesi.doc ). Eseguita la crittografia dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una schermata diversa a seconda della variante del virus.
Scarica il tool di rimozione da qui .


CrySiS – I file crittografati possono presentare numerose estensioni diverse come .johnycryptor@hackermail.com.xtbl , .ecovector2@aol.com.xtbl , .systemdown@india.com.xtbl , .Vegclass@aol.com.xtbl , .{milarepa.lotos@aol.com}.CrySiS , .{Greg_blood@india.com}.xtbl , .{savepanda@india.com}.xtbl , .{arzamass7@163.com}.xtbl . Dopo che i file sono stati crittografati, viene visualizzato sul desktop dell’utente un messaggio minatorio contenuto all’interno di un file
denominato Decryption instructions.txt , Decryptions instructions.txt o *README.txt .
Scarica il tool di rimozione da qui .


Globe – Aggiunge al nome dei file una delle seguenti estensioni: .ACRYPT , .GSupport(0-9) , .blackblock , .dll555 , .duhust , .exploit , .frozen , .globe , .gsupport , .kyra , .purged , .raid(0-9) , .siri-down@india.com , .xtbl , .zendrz o .zendr(0-9) . Inoltre, alcune delle varianti
di questo ransomware crittografano anche i nomi dei file. Dopo aver crittografato i file, viene visualizzato un
messaggio di avvenuta infezione che invita l’utente a pagare il riscatto per sbloccare i file archiviati nell’hard disk (contenuto in un file denominato How to restore files.hta o Read Me Please.hta ).
Scarica il tool di rimozione da qui .


Legion – Aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome dei file (ad esempio Tesi.doc._23-06-2016-20-27-
23_$f_tactics@aol.com$.legion
). Dopo avere eseguito la crittografia dei file sostituisce lo sfondo del desktop e visualizza un messaggio minatorio che intima all’utente di pagare il riscatto per sbloccare i file.
Scarica il tool di rimozione da qui .


NoobCrypt – Non modifica i nomi dei file, tuttavia, una volta crittografati, i file non possono essere aperti utilizzando le applicazioni associate. Viene visualizzato un messaggio, contenuto nel file ransomed.html archiviato sul desktop dell’utente.
Scarica il tool di rimozione da qui .


SZFLocker – Aggiunge .szf in coda al nome dei file (ad esempio Tesi.doc.szf ). Quando si tenta di aprire un file crittografato, visualizza un criptico messaggio in polacco
Scarica il tool di rimozione da qui .


TeslaCrypt – L’ultima versione di TeslaCrypt non modifica il nome dei file. Dopo avere eseguito la crittografia visualizza un messaggio di minaccia per l’utente.
Scarica il tool di rimozione da qui .


10 consigli d’oro per stare alla larga dai ransomware

1) I backup prima di tutto – Per essere sicuri di riuscire a recuperare i dati presenti sul disco rigido anche in caso di attacco di ransomware è fondamentale eseguire i backup dei file, almeno quelli più importanti. La cosa migliore è creare almeno due copie di backup, uno da salvare su un supporto (hard disk, DVD, pendrive, ecc.) e l’altro da conservare su cloud servendosi di servizi come Dropbox o Google Drive.

2) Verifiche periodiche – Mantenere integra la copia di backup dei dati è fondamentale per poterli ripristinare in caso di emergenza, ad esempio dopo che il PC è stato infettato da un ransomware. Assicuriamoci periodicamente che le copie di riserva siano perfettamente funzionanti e che nessun file sia danneggiato. Capita infatti che a causa di un errore accidentale i backup salvati su un hard disk esterno o pendrive vengano cancellati o corrotti.

3) Attenti al phishing – Capita che per diffondere i propri malware i criminali informatici adeschino gli utenti inviando loro falsi messaggi di posta elettronica che, imitando le comunicazioni dei negozi online e degli istituti di credito, li invitano a cliccare su link che aprono pagine infette. Per evitare ciò adoperiamo un filtro antispam ed evitiamo di cliccare su link o di aprire allegati contenuti nelle email inviate da mittenti sconosciuti.

4) Mai abbassare la guardia! – In ogni caso, per nostra massima sicurezza, evitiamo di cliccare anche sui link contenuti nei messaggi di posta elettronica inviati dagli amici, compresi quelli conosciuti sui social network o compagni di giochi online. È sempre possibile che i loro account di posta siano stati violati e utilizzati per effettuare altri attacchi in Rete.

5) Estensioni sempre visibili – Spesso i malintenzionati camuffano virus e trojan usando estensioni di file a noi familiari (documenti, video ecc.) in modo da confonderci e farci cadere nella trappola. Un esempio di file “camuffato” può essere ad esempio “report.doc.scr”, che noi visualizzeremo come “report.doc”. Allo scopo di riconoscere più facilmente file potenzialmente dannosi è opportuno abilitare la visualizzazione delle estensioni per i tipi conosciuti. In questo modo riusciremo a individuare facilmente file dannosi che hanno estensione EXE, VBS o SCR.

6) Aggiorniamo tutto! – Per la protezione da virus e malware è fondamentale tenere aggiornato non solo il sistema operativo, ma anche i programmi che usiamo abitualmente (browser Internet, antivirus ecc.). I criminali informatici infatti vanno alla ricerca di vulnerabilità nei software per introdursi nei computer e comprometterne il contenuto.

7) Abbiamo un buon antivirus? – Per proteggere il PC dai ransomware è necessario munirci di buon antivirus che impedisca a qualsiasi file dannoso di entrare nel sistema nel corso di tutte le operazioni che eseguiamo quotidianamente. Sarà così in grado di segnalarci file infetti o allegati sospetti nei messaggi di posta elettronica o su chiavette USB, pagine Internet dal contenuto dannoso ecc.

8) Processi anomali in esecuzione – Se ci accorgiamo che sul computer è in esecuzione un processo che non conosciamo, la prima cosa da fare è staccare la connessione a Internet. Se il ransomware non ha completato il suo lavoro e non ha ancora eliminato dal disco rigido la chiave di criptazione sarà ancora possibile ripristinare i file. Questo accorgimento non funziona se abbiamo a che fare con un ransomware di nuova generazione che utilizza una chiave predefinita.

9) Non sborsiamo mai un euro – Nella malaugurata ipotesi che i file memorizzati sul disco rigido siano stati criptati da un ransomware non paghiamo il riscatto, a meno che non ci serva nell’immediato l’accesso a qualche dato particolarmente sensibile e importante. Qualora lo facessimo contribuiremmo a far andare avanti l’attività illegale di questi criminali informatici.

10) Quando il ripristino è possibile – Se siamo stati infettati da un ransomware possiamo comunque provare a individuarne il nome e ripristinare i file. Nel caso di vecchi ransomware è più semplice riuscire a decriptare i file. A tal proposito gli esperti di sicurezza (ad esempio quelli dei laboratori Avast) rilasciano su Internet appositi tool di ripristino dei file che consentono di risolvere il problema in pochi clic.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • xx tt scrive:
    Colori per i link e le immagini
    Basterebbe che gmail modificasse le mail impostando dei colori dove c'è qualcosa di cliccabile con un link:Se è un link, il link stesso avrà quel colore.Se è un'immagine, sarà mostrata con un contorno sempre dello stesso coloreTipo qualcosa di capibile dalla segretaria di turno:-verde: link sicuramente affidabile-nero/nessun colore: non si sa-rosso: possibile fishing come nel caso del link di questo articoloA questo punto basta dire alla segretaria di aprire solo le immagini e i link verdi e chiedere per quelli neutri. Il resto ovviamente va nel cestino.E' così difficile?
    • ... scrive:
      Re: Colori per i link e le immagini
      E' inutile, cliccano lo stesso.
      • mela marcia scrive:
        Re: Colori per i link e le immagini
        - Scritto da: ...
        E' inutile, cliccano lo stesso.Esatto. L'utente deve imparare 4 regole base di sicurezza, guidarlo non serve a nulla, tanto cadrebbe nel prossimo tranello.
      • xx tt scrive:
        Re: Colori per i link e le immagini

        E' inutile, cliccano lo stesso.Quando la segretaria viene cacciata a pedate vedrai che quella successiva comincerà a fare le cose nel modo giusto.
    • mela marcia scrive:
      Re: Colori per i link e le immagini
      - Scritto da: xx tt
      Tipo qualcosa di capibile dalla segretaria di
      turno:
      -verde: link sicuramente affidabile
      -nero/nessun colore: non si sa
      -rosso: possibile fishing come nel caso del link
      di questo
      articoloGià adesso se si clicka sull'icona a sinistra dell'URL, Chrome ti da un sacco di informazioni. Inoltre, se c'è il lucchetto verde puoi inserire le tue credenziali; in questo caso il lucchetto non c'è.
      • xx tt scrive:
        Re: Colori per i link e le immagini

        Già adesso se si clicka sull'icona a sinistra
        dell'URL, Chrome ti da un sacco di informazioni.
        Inoltre, se c'è il lucchetto verde puoi inserire
        le tue credenziali; in questo caso il lucchetto
        non
        c'è.Troppo poco, purtroppo. Ci vuole qualcosa di evidentissimo
    • aphex_twin scrive:
      Re: Colori per i link e le immagini
      - Scritto da: xx tt
      Basterebbe che gmail modificasse le mail
      impostando dei colori dove c'è qualcosa di
      cliccabile con un
      link:
      Se è un link, il link stesso avrà quel colore.
      Se è un'immagine, sarà mostrata con un contorno
      sempre dello stesso
      colore

      Tipo qualcosa di capibile dalla segretaria di
      turno:
      -verde: link sicuramente affidabile
      -nero/nessun colore: non si sa
      -rosso: possibile fishing come nel caso del link
      di questo
      articoloPiccola domanda , come fa a capire Google se un link deve essere colorato di verde ?
      • xx tt scrive:
        Re: Colori per i link e le immagini

        Piccola domanda , come fa a capire Google se un
        link deve essere colorato di verde
        ?Perché ad es. sarà un www.google.com invece del consueto www.gogle.com o varianti del caso.
    • panda rossa scrive:
      Re: Colori per i link e le immagini
      - Scritto da: xx tt
      Basterebbe che gmail modificasse le mail
      impostando dei colori dove c'è qualcosa di
      cliccabile con un
      link:
      Se è un link, il link stesso avrà quel colore.
      Se è un'immagine, sarà mostrata con un contorno
      sempre dello stesso
      coloreE che cosa c'e' di difficile nell'impostare un foglio di stile cona { color: red !important; }
      Tipo qualcosa di capibile dalla segretaria di
      turno:
      -verde: link sicuramente affidabile
      -nero/nessun colore: non si sa
      -rosso: possibile fishing come nel caso del link
      di questo
      articolo


      A questo punto basta dire alla segretaria di
      aprire solo le immagini e i link verdi e chiedere
      per quelli neutri.

      Il resto ovviamente va nel cestino.

      E' così difficile?NO. Una riga nel foglio di stile che puoi fare anche tu.
      • xx tt scrive:
        Re: Colori per i link e le immagini
        Meglio tenere gli elementi grafici al minimo. Altrimenti c'è il rischio che la segretaria li confonda con grafiche pubblicitarie della mail.
        • panda rossa scrive:
          Re: Colori per i link e le immagini
          - Scritto da: xx tt
          Meglio tenere gli elementi grafici al minimo.
          Altrimenti c'è il rischio che la segretaria li
          confonda con grafiche pubblicitarie della
          mail.La mail va configurata per non visualizzare mai la grafica embedded.Se quello che rimane non contiene informazione, la mail viene cancellata senza remore.
  • xte scrive:
    Selezione naturale
    Ad oggi non ho visto nessun fishing abbastanza sofisticato da giustificare una vittima: ci sei cascato? Bene, la prossima volta stà più attento.L'informatica è parte sempre più rilevante della nostra società, come tale una sua conoscenza egualmente approfondita in rapporto all'importanza che l'informatica via via ha è richiesta.
    • prova123 scrive:
      Re: Selezione naturale
      +1 :)
    • iRoby scrive:
      Re: Selezione naturale
      Continuo a dare sempre meno importanza all'email.E i dati più importanti li sto spostando altrove.
      • xx tt scrive:
        Re: Selezione naturale

        Continuo a dare sempre meno importanza all'email.
        E i dati più importanti li sto spostando altrove.Secondo me è l'e-mail che va spostata altrove. Ovvero utilizzata in qualche macchina virtuale che ripristini da snapshot ogni volta che la usi.Se poi gli indirizzi nell'e-mail fossero verificati prima di mostrarteli, il problema sarebbe anche meno grave.Voglio dire: devo perdere la vista io per accorgermi che www.ilgiomale.it non è ilgiornale.it? Il server non può?
        • xte scrive:
          Re: Selezione naturale
          Se "ripristini" ad ogni lettura come sai quali mails sono lette, quali no, quali cestinate ecc?Quanto alla verifica: si può verificare il mittente nel senso che la mail inviata da tizio.tld non possa apparire come inviata da caio.tld ma nulla di più in effetti con che diritto posso decidere che il dominio gooogle.com è da bloccare? Se esiste, è stato realmente acquistato ha il diritto di mandar posta anche se il suo nome può trarre in inganno.Chi ha provato a far lo sceriffo a sempre fatto più danni che altro
      • xte scrive:
        Re: Selezione naturale
        E posso chiederti quale forma di comunicazione scritta prediligi all'email?Perché l'email ad oggi è l'unica largamente diffusa, standard ed aperta, puoi usare la mail con svariati MUA (client) e server, puoi usarla praticamente in ogni sistema ed ogni versione. Roba tipo WatsApp funziona solo su alcuni os mobile moderni, è legato ad una sim, gira solo su server proprietari e comunica solo con se stesso, al confronto una mail può girare su un mio server personale, inviata da una mia applicazione, scelta tra n o anche scritta da me, ricevuta dai server chessò di Yahoo o GMail o Libero o Yandex ecc ed esser letta da un'altra applicazione ecc ecc eccSi chiama libertà.
    • Il fuddaro scrive:
      Re: Selezione naturale
      - Scritto da: xte
      Ad oggi non ho visto nessun fishing abbastanza
      sofisticato da giustificare una vittima: ci sei
      cascato? Bene, la prossima volta stà più
      attento.

      L'informatica è parte sempre più rilevante della
      nostra società, come tale una sua conoscenza
      egualmente approfondita in rapporto
      all'importanza che l'informatica via via ha è
      richiesta.Si e tutti quelli che dicono: perché per guidare l'auto bisogna capirne per forza di meccanica? Cosa gli rispondiamo?Che poi sono i primi denigratori di linux e affini, perché voglio usare il computer ANCHE se non capisco niente di informatica. E così che si e creato il popolo gregge di faccebuk.
      • prova123 scrive:
        Re: Selezione naturale
        - Scritto da: Il fuddaro

        Si e tutti quelli che dicono: perché per guidare
        l'auto bisogna capirne per forza di meccanica?
        Cosa gli
        rispondiamo?
        Gli diciamo: tranquillo, finchè le ruote girano non c'è di che preoccuparsi! :D
      • panda rossa scrive:
        Re: Selezione naturale
        - Scritto da: Il fuddaro
        - Scritto da: xte

        Ad oggi non ho visto nessun fishing abbastanza

        sofisticato da giustificare una vittima: ci sei

        cascato? Bene, la prossima volta stà più

        attento.



        L'informatica è parte sempre più rilevante della

        nostra società, come tale una sua conoscenza

        egualmente approfondita in rapporto

        all'importanza che l'informatica via via ha è

        richiesta.


        Si e tutti quelli che dicono: perché per guidare
        l'auto bisogna capirne per forza di meccanica?
        Cosa gli
        rispondiamo?Suca!
        Che poi sono i primi denigratori di linux e
        affini, perché voglio usare il computer ANCHE se
        non capisco niente di informatica. E così che si
        e creato il popolo gregge di
        faccebuk.La colpa e' tutta di quei markettari che invece di dire RTFM gratis, hanno preferito vendere illusioni a caro prezzo.Prezzo che oggi paghiamo tutti.
      • xx tt scrive:
        Re: Selezione naturale

        Si e tutti quelli che dicono: perché per guidare
        l'auto bisogna capirne per forza di meccanica?
        Cosa gli
        rispondiamo?Che non viene loro richiesto di sapere come funziona, ma di sapere come usarla in modo sicuro.
        Che poi sono i primi denigratori di linux e
        affini, perché voglio usare il computer ANCHE se
        non capisco niente di informatica. E così che si
        e creato il popolo gregge di
        faccebuk.Devono solo capire che l'utilizzo base, ovvero da ignorante, è un utilizzo limitato, ovvero più di tanto non possono pretendere di fare.Sono vittime dell'illusione winara di poter fare sempre tutto a icone colorate
      • xte scrive:
        Re: Selezione naturale
        Gli rispondiamo che allora si tengano i problemi.L'unica cosa che mi secca è se le loro azioni riguardano anche me in qualche modo...
    • xx tt scrive:
      Re: Selezione naturale

      Ad oggi non ho visto nessun fishing abbastanza
      sofisticato da giustificare una vittima: Se la segretaria precarizzata deve sfoltirsi centinaia di mail al giorno è anche normale che gliene sfugga qualcuna. Specie se arrivano da indirizzi noti.
      ci sei
      cascato? Bene, la prossima volta stà più
      attento. Bene mica tanto...se la ditta è già con un piede nella fossa, un ransomware può essere la spinta decisiva per inserirvi anche l'altro.
Chiudi i commenti