Che cos'è il ransomware e come proteggersi

Che cos'è il ransomware e come proteggersi

Cosa è un ransomware? Cosa fare per evitarlo? E cosa fare nel caso in cui sia già presente? Vediamo come funziona e come proteggersi
Che cos'è il ransomware e come proteggersi
Cosa è un ransomware? Cosa fare per evitarlo? E cosa fare nel caso in cui sia già presente? Vediamo come funziona e come proteggersi

Il Web è pieno di malware, tutti dannosi per il proprio computer, ma ognuno dotato di caratteristiche che intaccano i dispositivi secondo un metodo unico. Tra i più diffusi e malevoli c’è senza dubbio il ransomware. Questo infatti, proprio come ampiamente anticipato dal nome “ransom” (che tradotto in italiano diventa “riscatto”), tende a bloccare in maniera quasi definitiva il PC, rendendo inutilizzabile finché il proprietario non deciderà di pagare il riscatto richiesto dal malintenzionato che lo ha infettato. In questa guida cercheremo di analizzare al meglio il suddetto malware, elencando anche alcuni metodi utili per difendersi ed evitare che questo colpisca il proprio device desktop.

Perché il ransomware è così efficace

Senza girarci troppo intorno, possiamo tranquillamente affermare che il ransomware è parecchio efficace, soprattutto perché riesce a colpire una specifica fetta di utenza che, per un motivo o per un altro, presenta tutte le caratteristiche che lo “accolgono” senza troppi problemi. Vediamo quindi quali sono le situazioni più “comode” per il suddetto malware.

Il ransomware prende di mira le debolezze umane

Come qualsiasi malware, la prima caratteristica fondamentale è, purtroppo, la debolezza (e la fiducia) umana. Un ransomware può infatti arrivare da alcuni servizi e software che quotidianamente si utilizzano per motivi lavorati, scolastici o di svago. L’esempio principale è il messaggio di posta “phishing”, ovvero false email costruite di proposito per spingere l’utente a cliccare su qualche link o scaricare allegati dannosi. In genere tali messaggi promettono sconti allettanti su prodotti di punta, offerte esclusive su software online, buoni spesa, necessità di cambiare una password su un sito molto utilizzato o altre proposte simili. Gli utenti più esperti potrebbero riconoscere una finta email immediatamente, ma in molti potrebbero effettivamente cadere nel tranello e offrire un accesso rapido al proprio computer.

Un altro metodo molto utilizzato passa per il download di applicazioni “craccate” e quindi provenienti da siti web non ufficiali e capaci di modificare il codice del programma scaricato per nascondere il ransomware al suo interno. Inoltre, in molti casi vengono persino sviluppati siti web identici a quelli ufficiali, in modo da replicare la stessa esperienza di download di programmi originali, ma ingannando l’utente che crede di star navigando sul sito Web del produttore interessato.

Ovviamente il ransomware può derivare anche da chiavette USB infettate, dall’utilizzo di desktop remoti e, soprattutto, dalla mancanza di forti difese tecnologiche, oppure a causa di hardware e software ormai obsoleti.

Mancanza di forti difese tecnologiche

Quando si parla di difese tecnologiche si fa ovviamente riferimento agli anti virus, o meglio, in questo caso di anti malware. Ogni computer dovrebbe possederne uno e per questo motivo abbiamo deciso di creare una guida con i migliori da utilizzare. Per raggiungerlo sarà sufficiente cliccare su questo link.

Hardware e software obsoleti

Una debolezza parecchio influente in questi casi è la presenza di hardware e software obsoleti. Purtroppo infatti, il software obsoleto non dispone più di aggiornamenti software e, nella maggior parte dei casi, neppure del supporto per le applicazioni e gli anti malware necessari per impedire gli attacchi. La soluzione qui è abbastanza ovvia quanto costosa, in quanto sarà necessario acquistare un nuovo computer o una nuova versione del sistema operativo, sempre se l’hardware in questione riesca a supportarlo. Fortunatamente sia Microsoft che Apple offrono tanti anni di supporto per la proprie versioni di Windows e macOS (i sistemi operativi più comuni), ma bisognerà comunque stare attenti a tenere sempre aggiornati i propri computer, almeno finché sarà possibile farlo.

Come funziona il ransomware?

Il funzionamento dei ramsonware è piuttosto semplice da spiegare quanto efficace e pericoloso nelle pratica. Sostanzialmente, prima di tutto questo malware entra nel codice del dispositivo in questione, successivamente procede con la crittografia dell’intero sistema operativo (oppure di singoli file o cartelle), rendendolo inaccessibile e inutilizzabile dal proprietario, e infine chiede un riscatto monetario per sparire definitivamente e riportare tutto al suo posto.

Crittografia dei file

La crittografia dei file rende quindi inaccessibili i file installati sul computer, utilizzando diverse tecniche di cifratura. Ciò significa che l’utente non potrà aprirli o utilizzarli finché non verrà inserita la “chiave di decifrazione” (una sorta di password), la quale risulterà sostanzialmente impossibile da scoprire. Quest’ultima verrà infatti svelata soltanto dopo aver pagato il riscatto richiesto, altrimenti tutti i file rimarranno assolutamente inaccessibili.

I ransomware più pericolosi

Attualmente esistono tantissimi tipi di ransomware diversi, ma non tutti si possono considerare pericolosi allo stesso livello. Perciò, andiamo a vedere ora quelli più temuti e dannosi, così da rendersi conto in anticipo della gravità della situazione.

WannaCry

Il più famoso in questo campo è probabilmente WannaCry, il quale, sopratutto nel 2017, è riuscito ad infettare migliaia di computer con sistema operativo Windows. Il suo funzionamento è piuttosto standard: si insinua all’interno dei PC sfruttando alcune vulnerabilità degli SMB (protocollo molto utilizzato da windows per interfacciare le periferiche esterne) e si preoccupa in seguito di criptare tutti i file presenti al suo interno. In seguito, richiede un riscatto di qualche centinaia di dollari al povero possessore del computer.

UIWIX

UIWIX è nato poco dopo WannaCry e dispone esattamente delle sue stesse peculiarità. Ancora una volta viene sfruttata la vulnerabilità degli SMB per iniziare l’infezione e subito dopo provvede con la crittografia dei file. Si può in un certo senso considerare proprio una copia del ransomware precedente, solo sviluppato da hacker differenti.

Petya

A differenza di WannaCry e UIWIX, Petya non si limita alla crittografia dei file, ma si pone l’obiettivo di bloccare il funzionamento dell’intero sistema operativo. Per farlo va sostanzialmente a sostituire il “Master Boot Record”, rendendo inaccessibile qualsiasi aria di memoria del computer. Infine, richiede lo sblocco del software solo dopo al pagamento di un riscatto in bitcoin. Il suo picco di maggior successo risale anche stavolta al 2017, mentre adesso sembra essersi leggermente affievolito.

Cerber

Cerber è probabilmente il ransomware  più di successo della storia. Il motivo di ciò è che si tratta di una sorta di virus “in concessione”, ovvero sviluppato da un gruppo di hacker che ha deciso in seguito di venderlo a chiunque volesse utilizzarlo. Il suo funzionamento è simile a quello di WannaCry e quindi basato sulla crittografia dei file con successiva richiesta di riscatto sotto forma di denaro.

CryptoWall

Infine, un ultimo ransomware piuttosto pericoloso è CryptoWall, anch’esso costruito sulla basa di quelli sopra elencati. Dopo essersi infiltrato nel computer, attacca immediatamente alcuni tipi di file, rendendoli ovviamente inaccessibili all’utente. Infine, come sempre accade in questi casi, chiede un riscatto di circa 500 dollari in bitcoin.

Come proteggersi dai ransomware

antivirus windows

Purtroppo, una volta infiltratosi, risulta sostanzialmente impossibile liberarsi di un ransomware, a meno che non si proceda con un ripristino totale del sistema (che in certi casi potrebbe anche non funzionare), oppure pagando il riscatto richiesto. Quello che si può fare però è ovviamente prevenire l’attacco, preparandosi all’eventualità che accada. Ecco quindi alcuni consigli che potrebbero tornare utili a chiunque.

Contro i ransomware: backup di tutto, ogni giorno

Come accennato in precedenza, una possibile soluzione ad un attacco di questo tipo potrebbe essere la formattazione del computer, o comunque il passaggio ad un nuovo PC. Tuttavia, quando ciò accade, non è sempre possibile recuperare i file salvati all’interno, ovvero proprio quelli che vengono per primi colpiti. Per questo motivo, il consiglio principale è quello di effettuare ogni giorno un backup completo dell’intero sistema operativo su un hard disk esterno, così da poter recuperare tutto facilmente. Per approfondire le procedure di backup, vi invitiamo a leggere la nostra guida completa cliccando su questo link.

Nell’introduzione abbiamo accennato ad alcuni metodo utilizzati per condividere i ransomware e uno di questi utilizza messaggi email fasulli per ingannare l’utente e invitarlo a cliccare sui link presenti all’interno. Ovviamente il nostro consiglio è quello di verificare la veridicità di ogni singola email ricevuta, facendo attenzione all’indirizzo dal quale provengono. Quest’ultimo infatti potrebbe apparire realistico, ma una volta espanso nei dettagli del contatto, si rivela, nella maggior parte dei casi, come un indirizzo fake.

Inoltre, nel momento in cui viene richiesta la modifica della password per motivi di sicurezza, la cosa migliore da fare sarà eliminare il messaggio ricevuto e procedere, per sicurezza, a modificare la password passando per il sito web interessato e non cliccando collegamenti presenti nel messaggio.

Installa un firewall antivirus

Ovviamente, la cosa più banale da dire in questi casi è: installare un firewall antivirus. Abbiamo creato un articolo dedicato ai migliori da scaricare e utilizzare, per questo motivo, vi consigliamo di procedere con la sua lettura per approfondire il tutto e scegliere il metodo migliore per proteggere il proprio PC. Per farlo, non servirà altro che cliccare su questo link.

Investire nella formazione aziendale

Finora abbiamo parlato di ransomware riferendoci perlopiù all’aspetto “casalingo”, proponendo soluzioni uniche per un singolo computer, appartenente ad una sola persona. Ma cosa succederebbe se l’attacco colpisse un’intera azienda o un ufficio? I danni in questo caso sarebbero sicuramente più elevati e, ovviamente, il riscatto richiesto più corposo. Sembra quasi scontato ripetere il consiglio sull’effettuare un backup dei dati ogni giorno per questo tipo di situazioni, ma lo è meno quello relativo alla formazione aziendale.

Molte aziende potrebbero infatti dare per certo che un dipendente sappia comportarsi perfettamente in situazioni di emergenza, ma non è sempre così. Per questo motivo, potrebbe essere un’ottima idea quella di investire nella formazione aziendale e magari approfondire molto di più sulla sicurezza informatica, in modo da avere quanto meno idea di dove partire nel caso in cui un ransomware si insinui all’interno dei PC aziendali.

Applica patch di sicurezza a tutte le tue applicazioni

Uno dei metodi con cui un ransomware riesce ad infettare un computer passa per il download di applicazioni poco affidabili, o scaricate da siti poco conosciuti. Fortunatamente però, Windows offre una funzione molto utile, capace di bloccare l’installazione di software non molto consigliati, lasciando all’utente la scelta di continuare o meno con il processo. Ovviamente, qualora l’avviso comparisse, vorrà dire che il sito web (o la stessa applicazione) non sarà riconducibile a fonti ufficiali, perciò, il consiglio è quello di non continuare con l’installazione, in quanto potrebbe effettivamente risultare dannosa per il computer.

Per applicare le patch di sicurezza a tutte le tue applicazioni e ricevere l’avviso basterà avviare il menu “Start” cliccando l’icona in basso a sinistra, continuare con l’icona delle “Impostazioni” sempre a sinistra, scegliere “Aggiornamento e sicurezza”, poi ancora “Sicurezza di Windows”, premere sulla voce “Controllo app e browser” e infine su “Impostazioni della protezione basata sulla reputazione”. A questo punto, nella sezione “Blocco app potenzialmente indesiderata”, bisognerà attivare i toggle alla sinistra di: “Abilitato”, “Blocca app” e “Blocca download”.

Whitelist delle applicazioni per computer

Su Windows 10 è attivo di default un servizio di sicurezza, che come visto nel paragrafo precedente, tende a bloccare l’avvio e il download delle applicazioni poco affidabili. Tuttavia, esiste anche una sorta di “whitelist”, ovvero un contenitore in cui selezionare le applicazioni (e i file) in cui si ripone fiducia e che dovrebbero bypassare il blocco di sicurezza. Perciò, vediamo subito in che modo selezionarle.

Prima di tutto bisognerà avviare il menu “Start” cliccando l’icona in basso a sinistra, continuare con l’icona delle “Impostazioni” sempre a sinistra, scegliere “Aggiornamento e sicurezza”, poi ancora “Sicurezza di Windows”, premere sulla voce “Virus e Protezione” e cliccare su “Aggiungi un’esclusione”. Qui sarà quindi possibile selezionare le applicazioni e i file da aprire in ogni caso e che andranno ad evitare il controllo di sicurezza di Windows.

Sviluppa un piano di ripristino di emergenza

Fortunatamente Windows offre davvero moltissime opzioni per sviluppare un piano di ripristino di emergenza. Oltre al già citato backup infatti, non mancano anche i “punti di ripristino”, con i quali sarà possibile anche “tornare indietro nel tempo” ed eliminare tutte le modifiche effettuate dopo aver completato il punto di ripristino. Ci sarebbe davvero tanto da dire su questo argomento, perciò, vi invitiamo a leggere la guida completa scritta proprio per analizzare i metodi di recupero, ripristino e backup di Windows 10 cliccando su questo link.

Cosa fare se abbiamo un ransomware nel computer

Infine, prima di chiudere con la guida, vediamo le possibili mosse nel caso in cui il ransomware abbia già infettato il computer. In generale, le opzioni possibili sono quattro. La prima di tutti ovviamente è quella di non fare nulla. Nel caso in cui i file non siano di vitale importanza, il riscatto richiesto sia più alto dell’acquisto di un eventuale nuovo PC e non si possegga alcun tipo di backup, allora si potrebbe seriamente pensare di arrendersi all’attacco ed evitare ulteriori problemi.

La seconda strada passa invece per il ripristino del PC con successiva installazione di un backup precedentemente effettuato. Questa risulta essere sicuramente la strada più comoda e immediata in assoluto, per questo motivo vi invitiamo nuovamente ad effettuare i backup del sistema quotidianamente.

La terza è un po’ più rischiosa, in quanto si basa sull’acquisto di un software “decryptor”, ovvero potenzialmente in grado di sbloccare i file interessati. Tuttavia, potrebbe anche rivelarsi una spesa inutile, in quanto, nella maggior parte dei casi, gli hacker sono a conoscenza dei suddetti software e sviluppano il ransomware per evitare che riescano ad effettuare lo sblocco.

Infine, come ultima spiaggia, rimane il pagamento del riscatto. Insieme al ransomware infatti, gli hacker aggiungono in genere sul computer un file di testo, in cui sono presenti tutte le istruzioni da seguire per effettuare il pagamento richiesta. In molti casi si tratta di acquisto di bitcoin, ma anche in questi, non mancheranno tutte le istruzioni utili per completare il procedimento e richiedere lo sblocco dei file. Tuttavia, consigliamo questo operazione solo come ultima opzione, in quanto, secondo le statistiche, chi ha già subito un attacco hacker, risulta essere più vulnerabile per attacchi futuri.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 25 giu 2021
Link copiato negli appunti