Go to Top

Rimuovere Ransomware – pagare o non pagare?

Rimuovere Cryptolocker Ransomware

Ransomware è ormai da diversi anni una minaccia in costante crescita. Il suo scopo è raggiungere un computer, bloccare l’accesso al sistema operativo o ai file, e chiedere un riscatto per sbloccare la macchina. Ransomware evolve rapidamente e continua a trovare nuovi modi di compromettere i dispositivi.

In base al meccanismo utilizzato, può rappresentare una fonte di stress e diventare una vera e propria minaccia.

  • Come funziona Ransomware?
  • Come puoi difenderti e cosa fare se la tua macchina è già stata infettata?
  • Si può rimuovere Ransomware?

Lo schema è quasi sempre lo stesso: il malware è spesso allegato a mail di spam. Utilizzando metodi sofisticati, gli aggressori creano dei falsi messaggi (fake) e inducono le vittime ad aprire gli allegati e installare il virus sui loro computer. Le email, che fingono di arrivare da aziende di consegne, telecomunicazioni o web store, cercano di convincere il destinatario che l’allegato contiene una fattura, una bolla di accompagnamento o altri documenti importanti. Se l’utente ci crede e apre l’allegato, il malware si installerà sul dispositivo e bloccherà il computer, mostrando una richiesta di riscatto.

A questo punto, per tenere la vittima sotto pressione, e spesso fingendo di essere un pubblico ufficiale, come polizia, organizzazioni anti-pirateria o persino l’FBI, gli aggressori informano che il computer è stato bloccato a causa di operazioni ritenute illegali e chiedono alla vittima di pagare una multa per ripristinare l’accesso al pc.

La pressione è incalzante: il messaggio spesso mostra un orologio che indica il tempo che manca (ad es. 72 ore) per il pagamento del riscatto: se l’utente non dovesse pagare i dati andrebbero irrimediabilmente persi. Esiste la possibilità di riprendere il controllo sul computer e sui propri dati senza perdere molti soldi?  Il riscatto solitamente varia da centinaia a migliaia di dollari.

Ransomware – solo paura o pericolo reale?

Dipende tutto da quale tipo di virus si tratta. Ransomware lavora su due livelli: prima di tutto, blocca l’accesso al sistema operativo, ma può anche codificare tutti i file e le cartelle accessibili dalla macchina infettata. Nel primo caso l’attacco è una seccatura più che un pericolo; nel secondo caso, invece, i vostri dati sono ormai persi.

Se il virus ha bloccato solo l’accesso al sistema operativo, avete a che fare con un attacco scareware, che vuole solo spaventarvi per convincervi a pagare il riscatto. Attacchi di questo genere sono relativamente semplici da fermare. Anche se il computer è stato bloccato, potete utilizzare un software antivirus, facendolo partire da un disco di ripristino (rescue disk), per scansionare il pc e disattivare il virus. Gli utenti con maggiori competenze in ambito tecnologico possono persino rimuovere il virus da soli.

CryptoLocker: l’evoluzione di Ransomware

Se doveste avere a che fare con Ransomware più evoluti, dopo aver sbloccato il sistema potreste scoprire che tutti i vostri file e cartelle sono stati codificati. Questo è il modo in cui funziona CryptoLocker. È la variante più sofisticata di Ransomware, che codifica tutti i file sul computer ed è persino in grado di codificare le risorse di rete.

Quindi anche se utilizzate un software di backup automatico e il backup è disponibile nella vostra rete durante l’attacco, anche il backup verrà codificato.

Dopo aver aperto l’allegato contenente il virus, CryptoLocker si installa sul vostro computer, scarica una chiave privata da un server controllato dagli aggressori e quindi codifica i vostri file con un algoritmo RSA da 2048 bit. Poi, viene mostrato un messaggio che indica che avete 72 ore per pagare il riscatto. Dopo di che, il programma si disinstallerà automaticamente insieme alla chiave pubblica, rendendo i vostri file impossibili da decodificare.

Lo stesso accadrà se disinstallerete il programma da soli o con un software antivirus: la chiave pubblica verrà rimossa, lasciandovi con file non utilizzabili che, per il momento, non possono essere decodificati.

Quindi dovremmo pagare il riscatto?

Non abbiamo buone notizie per voi: anche se decidete di pagare il riscatto, non avete garanzie di ricevere la chiave per decodificare i vostri file. Gli autori dell’attacco erano stati abbastanza dignitosi da assicurarsi che dopo il pagamento del riscatto, il sistema dovesse decodificare automaticamente tutti i contenuti del vostro pc, ma a causa dell’intervento degli esperti della sicurezza e della polizia, alcuni dei server sui quali si appoggiava il sistema sono stati chiusi e di conseguenza il processo di decodificazione non sempre funziona come previsto. Ciò significa che a parte la perdita di denaro, potreste comunque perdere tutti i vostri dati codificati.

Come possiamo proteggerci?

  • Non aprite le mail e gli allegati che ricevete da fonti sconosciute, non confermate o sospette; il buon senso è la protezione più efficace contro i virus;

  • Proteggete il vostro computer con software affidabili e aggiornateli quando richiesto; le nuove generazioni e le varianti di ransomware continuano ad infestare il web, quindi dovreste avere sempre un database aggiornato;

  • Fate sempre un backup dei vostri file più importanti e archiviateli su un dispositivo offline (su un CD, una chiavetta USB o un disco esterno);

  • Se possibile (se ad esempio non sono presenti dati sensibili) archiviate i vostri file in cloud, utilizzando DropBox, Google Drive, etc.

3 Responses to "Rimuovere Ransomware – pagare o non pagare?"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *