Il termine ransomware deriva dalla parola inglese ransom ovvero: riscatto.
Parliamo di un’infezione in grado di prendere “possesso” in modo coatto del sistema operativo o di file contenuti nel computer dell’ignaro utilizzatore.
Siamo partiti da semplici e riscatti richiesti facendo leva sulle paure dell’utente, vedi i banali malware “Guardia di Finanza”, “Polizia Postale” che mostrando una schermata cercano di persuadere l’utente\utonto ad effettuare un pagamento tramite carda di credito al fine di scongiurare l’apertura di un’indagine su materiale contenuto nel PC che viola svariate norme…
… e siamo arrivati ai recenti CryptoWall, TorrentLocker, CryptoLocker, Reventon, CryptInfinite, TeslaCrypt, Chimera. Trattasi di software in continua evoluzione in grado di eludere e disattivare i sistemi di protezione del computer e all’insaputa dell’utente esegue la criptazione di tutti i file con determinate estensioni contenuti nel computer (es. doc, xls, jpg, txt, etc), terminata questa operazione il sistema effettua la stessa operazione su ogni risorsa di rete disponibile (anche su VPN), ogni unità, TUTTO.
Una volta eseguita la criptazione/sovrascrittura dei file, viene mostrata una pagina riepilogativa che spiega come pagare il scatto per riottenere i file presi in ostaggio.
Come si propaga?
Il metodo più comune è tramite posta elettronica, si riceve una mail contenente un allegato e del testo che convince l’utente a visionare l’allegato.
Ma attenzione, non sentitevi sicuri prestando attenzione alla sola posta elettronica, perché può potenzialmente utilizzare altri veicoli:
infettando la vostra memoria USB;
tramite i sistemi di condivisione file (Dropbox, OneDrive, Google Drive);
tramite siti internet -anche affidabili- nei quali viene integrato un file infetto tramite qualche backdoor;
tramite P2P, torrent, eMule, etc.
Problema: Evoluzione ed ingegneria sociale
Essendo delle vere e proprie macchine da soldi per chi crea questo tipo di infezioni (si parla di milioni di € incassati tramite sistemi di pagamento completamente anonimi) è sott’inteso c’è un grande interesse nell’evolvere questi software, renderli sempre più precisi ed efficaci.
A quanto pare alcune ultime varianti dell’infezioni sono in grado di rimanere latenti per mesi, codificando i dati indirizzati ad eventuali sistemi di backup, per poi entrare in funzione e bloccare tutto ciò che rimane sul sistema. O c’è l’esempio di Chimera che oltre a crittografare i file minaccia gli utenti che in caso di mancato pagamento del riscatto pubblicherà tutti i dati online.
Alla luce di ciò, faccio un po’ di terrorismo psicologico:
Immaginate di ricevere una mail dal vostro fornitore\cliente\amico\parente, dove il testo è convincente, realistico o tratta di un argomento che state effettivamente trattando…;
ora immaginate di entrare nella cartella Dropbox condivisa con un vostro collaboratore, trovate un file con un nome famigliare e lo aprite…;
andate sul sito di un fornitore assolutamente affidabile, scaricate il nuovo catalogo…
Inoltre, con la cosiddetta ingegneria sociale, inizieranno a raccogliere informazioni sulla possibile vittima, per poi colpire con precisione chirurgica.
Questo è il futuro e l’infezione è GARANTITA.
Cosa deve fare la vittima di ransomware?
Può fare poco. Inoltre, sappiate che una volta infetti, in qualche caso non v’è modo di recuperare i dati pagando il riscatto, i vostri dati sono persi, corrotti.
Se vi accorgete che c’è qualcosa che non va con un file appena aperto, non è ciò che vi aspettavate, non si apre… spegnete il computer togliendo l’alimentazione, chissà che qualcosa si salva e magari riuscite a non bloccare tutti i file contenuti nei computer aziendali. Non pensate di fare un semplice “Chiudi sessione”, non riaccendete per nessun motivo il computer e chiamate il vostro tecnico di fiducia, che ne capisca qualcosa – se accende il computer ed inizia ad andare a tentativi, cacciatelo immediatamente e cambiate tecnico, in fondo state riponendo in lui le ultime speranze di recupero dei dati.
Siete al sicuro?
Pensate ancora di essere superiori a queste cose?
Pensate che sarete sempre in grado di valutare l’attendibilità di una mail, di un file?
Siete sicuri che il vostro sistema di backup sia realmente affidabile?
Avete appena acquistato la licenza di qualche antivirus blasonato e vi sentite protetti?
Non avete alcun sistema di sicurezza e siete convinti di essere invincibili?
Per voi un consiglio: Fareste meglio a ricredervi.
Dimenticate ciò che vi hanno sempre detto abili venditori sugli antivirus: non proteggono da questo genere di infezioni, nessun criminale informatico investirebbe soldi in un prodotto che viene riconosciuto dall’antivirus, l’infezione è recente e la stragrande maggioranza dei sistemi di sicurezza non sono in grado di riconoscerla immediatamente.
Qualche fenomeno vi ha consigliato l’uso della funzione ShadowCopy integrato su Windows Vista\7\8\10 ? Sappiate che vengono cancellate tutte le copie.
Avete un “server nas” in azienda e la sola parola vi fa credere di essere al sicuro? Contattate il vostro amministratore di sistema e chiedetegli di descrivere in parole semplici in cosa consiste il vostro sistema di backup, chiedete se in caso di infezione dell’intera azienda il vostro fidato tecnico sarà in grado di riportare tutto in una condizione precedente.
Avete un backup esterno? Ogni quanto viene aggiornato? Quante copie vengono mantenute? Sapete rispondere a queste domande?
Pensateci bene, perché ragionare su un sistema di sicurezza una volta che si sono persi tutti i documenti aziendali è TARDI.
Possibili soluzioni
Ciò che suggerisco da diversi anni a questa parte, è di adottare un sistema di archiviazione centralizzato, un NAS su base unix che gestisca tutti i dati aziendali, copie dei gestionali ed eventuale posta elettronica adottando un sistema a più dischi, dove:
I dati in uso vengono clonati in tempo reale (detto RAID 1 – mirroring), così in caso di guasto del disco l’azienda non ha perdite e continua a lavorare, uno o più dischi che effettuano copie continue dell’intero archivio mantenendo più versioni, rendendo così possibile il ripristino completo o parziale della copia. Così facendo è possibile riportare qualsiasi elemento ad una condizione precedente -1 ora, -1 giorno, -1 mese, -1 anno, ho semplificato un po’ perché in realtà le versioni mantenute possono essere molte di più.
Passando invece ai computer, l’unica soluzione è una sorta di blocco preventivo del sistema, in modo da bloccare i processi non autorizzati
Per gli utenti\utonti, è importante informarli, indicargli il comportamento corretto, invitarli a gestire tutti i file sul NAS ed evitare di mantenere il proprio lavoro solamente sul PC nella cartella documenti o peggio.. sul desktop, spiegargli le possibili conseguenze.
Una semplice e buona abitudine è indubbiamente quella di utilizzare sistemi esterni per analizzare file sospetti, l’ottimo www.virustotal.com permette di far scansionare un determinato elemento con più motori antivirus contemporaneamente, dopo il responso positivo o negativo si può valutare se visionare o meno il file. Il sito rende disponibile anche un comodo applicativo per semplificare l’analisi: VirusTotal Uploader per Windows o per Mac.