Go to Top

Paura dei Ransomware? Bene, aspettate di vedere “Ranscam” !

Ranscam

In caso di attacco da parte di un ransomware, il computer, il server o l’intera rete sono infettati da un codice che cerca di effettuare il collegamento a un server remoto e quindi cripta tutti i dati. Dopo che il ransomware ha terminato “con successo” tale attività, compare un messaggio che richiede il pagamento di un riscatto da trasferire sotto forma di bitcoin agli esecutori dell’attacco. In seguito questi criminali promettono di inviare la chiave per decrittare i dati e i file infettati. In realtà questo non è sempre vero.
In molti casi, i singoli o le aziende che sono stati colpiti da un ransomware e hanno pagato il riscatto richiesto non hanno ricevuto comunque le chiavi di decrittografia. E questo può dipendere da molte ragioni. Talvolta il ransomware non era codificato correttamente, pertanto non era possibile decriptare il file. Altre volte gli hacker hanno avuto un tale “successo” e la quantità delle vittime era così elevata che semplicemente hanno perso traccia di tutte le diverse chiavi di decrittografia. Oppure la pressione delle forze dell’ordine era così intensa che gli hacker hanno dovuto lasciare di fretta il proprio rifugio, spostare il più velocemente possibile i bitcoin dai portafogli di molte vittime in uno solo e pensare a nascondersi. Considerati questi possibili scenari è facile comprendere come mai quasi tutte le forze di polizia nel mondo stiano mettendo in guardia le vittie dal pagare qualsiasi riscatto in caso di attacco.

Tuttavia, c’è un altro tipo di attacco virus che mette in pericolo gli utenti di tutti i computer: Ranscam. È apparso per la prima volta nel 2016 e sono stati riferiti dei casi nel 2017. Ranscam è un virus che sostiene di criptare i file, mostra una landing page e richiede il pagamento dei bitcoin. Gli hacker generano ulteriore pressione affermando che per ogni clic effettuato sulla tastiera sarà cancellato un file.

La realtà è anche peggiore! Ranscam è una specie di ransomware falso. Sostiene di criptare i dati, ma in realtà li cancella! Quando la vittima visualizza il messaggio, i file sono già stati cancellati. Il messaggio visualizzato non è realmente un sito web, ma una semplice immagine PNG. Pertanto non c’è nemmeno una connessione di rete permanente nascosta per gli hacker.  Il codice all’interno di un file .NET eseguibile effettua semplicemente una richiesta HTTP GET per ricevere due PNG e visualizzarli. Pagare quindi agli hacker un riscatto in bitcoin è dunque completamente inutile. È possibile trovare una descrizione dettagliata del virus ranscam originale qui: http://blog.talosintelligence.com/2016/07/ranscam.html

L’autore ha affermato già nel 2016 che questo “stupido ransomware” è anche il più pericoloso. E ha assolutamente ragione! Questo a causa del fatto che se il processo di cancellazione nel codice ranscam è creato in maniera tecnicamente corretta, non c’è quasi alcuna possibilità per l’utente, o perfino per gli esperti di data recovery, di recuperare i dati da un dispositivo di archiviazione contagiato!  Fortunatamente per la maggior parte degli utenti di computer, la variante di ranscam scoperta finora era progettata in maniera quasi amatoriale. Ciò non significa, tuttavia, che rimarrà così. Al contrario, questi tipi di attacchi possono verificarsi come un sabotaggio di computer molto diffuso, in cui si può rimanere coinvolti per caso come vittime innocenti.

Pertanto le due cose migliori da fare, come anche nel caso di ransomware o virus ordinari, sono:

  • Non aprire e-mail e/o allegati prevenienti da mittenti sconosciuti. Cancellateli! Se erano importanti, vi contatteranno nuovamente in un altro modo.
  • Non consultare siti web sospetti. Ci sono molti siti in Internet che vi offrono illegalmente software per vari scopi, film, serie TV o crack per bypassare la protezione software. Questi siti in particolare rappresentano una minaccia per i navigatori su Internet. Alcuni di questi siti sono totalmente infestati da virus, pertanto consultarli con un computer aziendale o personale è estremamente pericoloso!

Tuttavia, anche se in molti articoli si afferma che i dati sono irrimediabilmente persi quando si subisce un attacco ranscam, dovreste far verificare il vostro dispositivo di archiviazione infettato (hard disk o altro supporto) da un service provider professionista nel recupero dati come Ontrack. Nella maggior parte dei casi è ancora possibile che i dati non siano completamente perduti, ma possano essere recuperati dagli esperti. Sia perché i dati sono ancora disponibili nelle strutture dati più profonde degli hard disk perché il metodo di cancellazione utilizzato dal ranscam non è stato efficace al 100%, sia perché copie dei dati sono disponibili in altre parti del dispositivo di storage utilizzato. Dipende molto dal caso specifico.

Gli esperti di Ontrack vi forniranno una valutazione realistica se i vostri dati possono essere recuperati, oltre a una stima delle attività e dei tempi. Tenendo presente questa considerazione, la vostra prima azione dovrebbe essere quella di spegnere il sistema infetto e contattare immediatamente il  Ontrack.

Picture copyright: Alexandra H. / pixelio.de

https://www.pixelio.de/media/531675

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *