Cos'è il ransomware?

Il ransomware è un software dannoso che crittografa segretamente i file sul tuo PC per cercare di costringerti a pagare il riscatto per ottenere la chiave di decrittazione necessaria per riottenere l'accesso alla tua vita digitale.

Sebbene le grandi organizzazioni aziendali e governative siano state gli obiettivi più famosi degli attacchi ransomware, colpiscono anche i privati. Nel 2021, il ransomware ha un costo stimato per le aziende 20 miliardi di dollari nel 2020.

Il ransomware è frequente propagazione tramite allegati e collegamenti e-mail dannosi e talvolta altamente mirati, nonché annunci dannosi che scaricano malware quando tu interagisci con loro, download drive-by che scaricano automaticamente il carico utile e attraverso le reti locali in cui si è verificata un'infezione presa. Annunci dannosi e download drive-by possono essere visualizzati su siti altrimenti legittimi.

Molti famigerati attacchi, come quelli del gruppo Conti, hanno rubato dati prima di crittografarli, portando a dati privati

rilasciato in linea. Altri attacchi ransomware riguardano l'aspetto della decrittazione, lasciando coloro che pagano il riscatto con computer inutilizzabili.

Sebbene Windows rimanga l'obiettivo più popolare, anche gli attacchi ne hanno risentito Mac OS e Linux sistemi. Il ransomware esiste anche per dispositivi mobili e sistemi embedded.

Una breve storia della crittografia dei ransomware

Il ransomware non ha sempre utilizzato il file completo asimmetrico impegnativo crittografia vediamo oggi. Il primo attacco ransomware registrato, creato nel 1989 e destinato a interrompere il lavoro dei ricercatori sull'AIDS, nomi di file crittografati per impedirne l'accesso, rendendo il sistema inutilizzabile a meno che non sia stata acquistata una chiave di decrittazione da $ 189 dal malware Creatore.

Nel 2005 è emersa una famiglia di virus nota come PGPCoder o GPCode, cavalli di Troia che crittografavano tutti i documenti e i file di archivio potrebbe trovare, lasciando un file di testo contenente le istruzioni per pagare un riscatto tramite siti di trading di oro online per ottenere la decrittazione chiave.

Ricercatori presso Kasperksy sono stati in grado di identificare il creatore di GPCode in base al loro indirizzo IP. Il creatore del malware ha effettivamente contattato l'azienda antivirus e ha cercato di vendergli uno strumento per decrittografare il malware PGPCoder. Kaspersky ha ovviamente rifiutato e, dopo aver esaminato i sistemi di più vittime per risolvere gli indirizzi IP proxy utilizzati dal malware per telefonare a casa, ha individuato la posizione dell'autore. Ad oggi non è chiaro se la polizia abbia mai agito in base alle informazioni fornite da Kaspersky. L'ultima versione nota di GPCode è stata rilasciata nel 2010.

Quando i nuovi metodi di pagamento sono diventati popolari, gli sviluppatori di ransomware li hanno adottati. Negli anni 2010, la famiglia di malware WinLock ha utilizzato messaggi SMS a tariffa maggiorata per estrarre riscatti economici per gli standard moderni di circa £ 10.

La divulgazione delle criptovalute, in particolare Bitcoin, creata nel 2008, ha dato relativamente ai criminali metodo difficile da rintracciare per ricevere pagamenti ransomware e ora la maggior parte degli attacchi richiede il pagamento tramite criptovaluta.

Forse il ransomware più famoso è stato Wannacry del 2017, utilizzato in un vasto attacco che ricercato circa 200.000 computer in tutto il mondo, secondo Europol, fino a quando non si è verificato un kill switch scoperto dal ricercatore di sicurezza britannico Marcus "MalwareTech" Hutchins.

Attualmente assistiamo a centinaia di attacchi ransomware ogni anno e ci sono pochi segnali che la tendenza si stia attenuando.

Ransomware non crittografato

Il ransomware è roba spaventosa e alcuni criminali cercano di usare la minaccia di bloccare il tuo PC, segnalandoti a le autorità, o distruggere i tuoi file più preziosi per ottenere un riscatto senza farlo davvero qualsiasi cosa.

Reveton, il "virus della polizia" che ha affermato che il tuo sistema era stato bloccato dalle autorità locali fino a quando non è stata pagata una "multa" in realtà ha semplicemente utilizzato una chiave di registro per bloccare il tuo sistema. La banda responsabile di quello è stata catturata Europol nel 2013, ma non prima di aver truffato utenti vulnerabili per oltre 1 milione di euro all'anno.

Proprio la scorsa settimana, un collega della sicurezza IT ha visto un nuovo, ma molto vecchio stile, attacco "blocco schermo" nel browser che ha catturato l'attenzione della finestra e ha incaricato l'utente di chiamare "Microsoft" per assistenza, il che ovviamente porterebbe a un "computer" fraudolento e costoso riparazione". Il messaggio minacciava terribili conseguenze per il riavvio... il che non sorprende, dato questo riavviare e cancellare tutte le schede del browser aperte era tutto ciò che era necessario fare per sbarazzarsi di quel particolare irritante. Per assicurarsi che il blocco schermo non tornasse, il sistema è stato sottoposto a una scansione antivirus approfondita utilizzando strumenti anti-malware sia avviabili che installati e sono state controllate il registro e le applicazioni di avvio.

Cosa fare con un sospetto ransomware crittografato?

Se sospetti di essere stato infettato da un ransomware ma non tutto è stato ancora completamente crittografato, spegni o spegni immediatamente il computer. È improbabile che il riavvio impedisca la crittografia dei dati, poiché il processo di crittografia verrà riavviato con il PC. Scansiona l'unità alla ricerca di malware senza avviare il sistema operativo, ad esempio utilizzando a disco di salvataggio.

Se il disco di ripristino è in grado di identificare il ransomware, ma non decrittografare i file bloccati, non tutto è perduto. Il ransomware viene costantemente analizzato da specialisti della sicurezza. I primi porti di scalo dovrebbero essere Emisoft, specializzato nella creazione di decryptor, ed Europol Niente più riscatto, che ti aiuterà a identificare il tuo ransomware e a trovare un decryptor per esso.

Se devi avviare il sistema, disconnettilo da tutte le reti cablate e wireless. Ciò può impedire al ransomware di crittografare le unità di rete, impedire che si diffonda ad altri dispositivi della rete, aiutare a prevenire copie dei tuoi file personali dal furto e blocca le attività secondarie del malware, come l'utilizzo del tuo PC per la criptovaluta estrazione.

Se il tuo disco di sistema è già stato completamente crittografato e non puoi decrittografarlo, ti rimangono due scelte. Se il disco rigido conteneva file veramente importanti o insostituibili, puoi rimuoverlo, etichettarlo, conservarlo in un posto sicuro e tenere d'occhio il rilascio di un decryptor. Questi potrebbero essere sottoposti a reverse engineering, rilasciati da gruppi di ransomware quando cessano l'attività o addirittura rubati e rilasciato da ricercatori di sicurezza che lavorano contro i creatori di malware, come nel caso di marzo 2022 Perdita di conti.

Se hai conservato i backup, il modo di gran lunga migliore e più rapido per gestire un PC infestato da ransomware è reinstallare il sistema operativo e ripristinare i dati dai backup.

Se sei nel Regno Unito, rapporto l'attacco al National Cyber ​​Security Center.

Non pagare il riscatto. I tuoi soldi sosterranno la criminalità organizzata e non c'è alcuna garanzia che otterrai mai un decryptor funzionale.

Come proteggersi dal ransomware?

• Assicurati che il tuo software antivirus, come Microsoft Defender, è aggiornato.
• Abilitare protezione da ransomware nelle impostazioni di sicurezza di Windows.
• Assicurati di conservare i backup in almeno due posti, uno dei quali è tenuto fuori sede (fuori casa, per gli utenti domestici). I servizi di backup e sincronizzazione nel cloud sono l'ideale per questo.
• Non lasciare il disco di backup locale collegato al PC, altrimenti anche il suo contenuto potrebbe essere crittografato.
• Usa il controllo della versione nel tuo software di backup per assicurarti che, anche se esegui accidentalmente il backup dei file dopo che sono stati crittografati, una versione precedente sarà disponibile per il download.

Perché fidarsi del nostro giornalismo?

Fondata nel 2004, Trusted Reviews esiste per offrire ai nostri lettori consigli completi, imparziali e indipendenti su cosa acquistare.

Oggi abbiamo milioni di utenti al mese da tutto il mondo e valutiamo più di 1.000 prodotti all'anno.