Non riesci più ad aprire i tuoi file, le foto delle vacanze e i documenti di lavoro? Sei già pronto a pagare il doloroso riscatto dietro la promessa di una magica chiave di decriptazione? Aspetta, potrebbe esserci una soluzione.
Cosa fa un ransomware
Un ransomware è un virus che limita l’accesso ai file del dispositivo, richiedendo un riscatto per sbloccarli. Solitamente, l’estensione dei file criptati rimanda al nome del ransomware, come “.locky” per CryptoLocker. Appaiono poi dei file leggibili che contengono le istruzioni per recuperare i file, cioè indicazioni su come pagare il riscatto.
Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora comuni e anche in costante aumento. Basta aprire una mail fasulla e cliccare un link, o scaricare un allegato. Nella trappola sono cadute anche grandi aziende e organizzazioni come Renault, FedEx e Deutsche Bahn.
Nel giugno 2013, la software house specializzata in sicurezza McAfee ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente.
Da dove si prendono i ransomware?
Le e-mail di phishing sono particolarmente efficaci: il mittente sembra un nostro conoscente, un collega o magari la nostra banca, in oggetto c’è un link o un allegato che siamo invitati a cliccare. Con questa tecnica, in media 1 messaggio su 3 viene aperto dagli utenti e in oltre il 10% dei casi vengono anche cliccati gli allegati o i link presenti, facendo così partire il malware. Al secondo posto troviamo la navigazione su siti compromessi, cioè già sotto attacco di hacker. Basterà cliccare sui banner pubblicitari per essere reindirizzati sul sito malevolo dal quale partirà il download, tutto rigorosamente all’insaputa dell’utente. In alternativa, il malware può essere nascosto all’interno di un programma gratuito che promette di sostituire o “crackare” un software costoso.
Cosa fare (e cosa non fare)
La reazione più comune è di pagare subito il riscatto, ma le statistiche ci insegnano che solo 1 persona su 4 ha recuperato i propri dati dopo aver pagato. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità. Dunque, vediamo quali passi seguire:
- “Stacca, stacca!“: scollega tutto dalla rete cablata e/o Wi-Fi – compresi drive esterni e chiavette USB – per evitare che il virus si propaghi;
- “Conoscere il nemico”: ci sono servizi online – come CryptoSheriff e ID Ransomware – dove si possono caricare dei file criptati e sapere il tipo esatto di ransomware che li ha generati;
- “Correre ai ripari”: sempre su CryptoSheriff è possibile trovare dei tool per decriptare i file.
Se malauguratamente non ci dovessero essere tool disponibili per il decrypt, le strade sono tre:
- sperare di aver fatto un backup, e quindi recuperare i file da lì – ovviamente dopo aver formattato completamente il PC;
- pagare il riscatto nella convinzione che i cyber criminali forniscano la chiave di decodifica;
- in caso di ransomware recente, aspettare che compaia online un software dedicato.
Altri piccoli consigli possono essere:
- formattare il PC per evitare la presenza di altri malware “nascosti” che si potrebbero manifestare in futuro;
- non installare un antivirus che, sì, rimuoverebbe il ransomware ma potrebbe impedire la decodifica dei file una volta ottenuto il tool di rimozione corretto.
Fonti: Heimdal Security, CyberSecurity360, PhoenixNAP, Il Fatto Quotidiano.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord, Steam e Twitch.