FonteUfficiale.it “ Cos’è un Ransomware? „

Un ransomware è un virus che cripta i dati di un computer e richiede un riscatto per ripristinare l’accesso

Cos’è un Ransomware? Un ransomware è un virus che cripta i dati di un computer e richiede un riscatto per ripristinare l’accesso. È solitamente distribuito attraverso “phishing” o “clickjacking” e può impedire all’utente di accedere ai propri dati o alla propria macchina. I pagamenti del riscatto possono essere richiesti in “criptovalute” (come Bitcoin). Alcuni esempi noti di ransomware sono Reveton, CryptoLocker e WannaCry.

In che modo ci si infetta con un ransomware?

Il ransomware si diffonde tramite virus che vengono installati dall’utente come file con estensione .exe. Può diffondersi su tutti i dispositivi della rete, in questo caso chiamato “worm” (una particolare categoria di malware in grado appunto di autoreplicarsi).

L’utente può installare il file su un computer locale inavvertitamente a seguito di un attacco di “phishing” o “clickjacking“.

La presenza di un antivirus che disponga della firma per il file usato nell’attacco ransomware o che lo rilevi come attività sospetta, può impedirne la diffusione. Altrimenti, il rilevamento potrebbe non essere eseguito.

Come funziona un ransomware

I ransomware si propagano solitamente attraverso trojan malware, worm e sfruttando vulnerabilità dei servizi di rete.

Possono essere scaricati tramite file infetti o distribuiti attraverso campagne di phishing. Dopo l’infezione del sistema, il ransomware esegue il payload che, ad esempio, cripta i file dell’utente.

I ransomware più avanzati utilizzano tecniche di criptazione ibrida, che usano una chiave privata casuale e una chiave pubblica fissa, in modo da non richiedere lo scambio di chiavi fra le parti. Solo l’autore del malware ha accesso alla chiave di decriptazione privata.

Alcuni ransomware non crittografano i file ma invece eseguono un payload che limita l’accesso al sistema operativo, rendendolo inutilizzabile e controllato dal malware stesso, o alterando il master boot record o la tabella di partizione, impedendo l’avvio del sistema operativo fino a quando la riparazione non viene effettuata.

I payload dei ransomware spesso utilizzano la scareware (nel gergo informatico scareware individua una classe di software dannosi o comunque di limitata utilità la cui installazione viene suggerita agli utenti attraverso tecniche di marketing scorretto o mediante i metodi dell’ingegneria sociale) per estorcere denaro agli utenti del sistema.

Ad esempio, il payload può mostrare notifiche che sembrano credibili, inviate dalla polizia federale o da varie compagnie, che falsamente affermano che il sistema è stato utilizzato per attività illegali o contiene materiale illegale, pornografico o piratato.

Altri payload imitano le notifiche di attivazione del prodotto Windows XP, affermando che il computer potrebbe avere una versione contraffatta di Windows che deve essere riattivata.

Queste tattiche costringono gli utenti a pagare l’autore del malware per rimuovere il ransomware, utilizzando un programma che decifra i file criptati o un codice di sblocco per annullare le modifiche apportate dal ransomware. I pagamenti vengono effettuati generalmente tramite bonifico, con sottoscrizione via SMS, attraverso un servizio voucher come Ukash o Paysafecard o, più recentemente, tramite Bitcoin (la valuta digitale).

Tipi di ransomware

Il ransomware è il virus più diffuso: crittografa tutti i file sul computer dell’utente e richiede un riscatto per il loro ripristino. Questo è il modello tipico del ransomware.

L’altro tipo di ransomware è la minaccia di eliminazione, in cui i dati vengono minacciati di essere eliminati se non si paga il riscatto entro una determinata scadenza.

Esiste anche un’ulteriore forma di attacco, meno comune, chiamata estorsione o doxxing.

Come ci si protegge da un ransomware?

Nonostante gli antivirus siano utili, non possono sempre prevenire efficacemente gli attacchi. Anche gli utenti esperti possono cadere vittima di attacchi di phishing o click-fraud.

I worm ransomware si diffondono nella rete senza intervento umano. La soluzione ideale è l’utilizzo di un software antivirus che rilevi l’attività malevola, esegua la scansione del file .exe e prenda in considerazione i file scaricati dal web prima dell’installazione.

Chi sono le vittime di un ransomware?

Le grandi aziende multinazionali e le agenzie della pubblica amministrazione sono spesso bersagli di un ransomware, dove un singolo utente può provocare un’infezione estesa.

Altri utenti possono essere infettati tramite e-mail spam o attacchi di phishing.

Come si previene un ransomware?

Per una protezione completa, installare un software antivirus verificato sviluppato da uno dei principali provider, come McAfee, Kaspersky, Symantec o Norton, e evitare di installare qualsiasi file con estensione .exe scaricato da link sul web.

Non fidarsi di e-mail sospette che includono allegati, inviate da fonti sconosciute. Spesso queste e-mail contengono errori di grammatica, usano un linguaggio generico come “Gentile Signore/Signora” o provengono da un indirizzo con un nome sospetto.

Ransomware: linee guida per la prevenzione e la gestione

Da fare: implementare una solida protezione antivirus, formare il personale sulla sicurezza informatica e fare regolari backup dei dati per ripristinare i sistemi in caso di attacco

Da non fare: trascurare il backup dei dati e la formazione del personale sulla sicurezza informatica

In che modo un ransomware può danneggiare un’azienda?

Un attacco ransomware può causare gravi danni alle aziende, includendo la perdita dei dati e l’interruzione delle attività lavorative. Per prevenire gli attacchi, è importante utilizzare software antivirus con protezione contro i ransomware, formare i dipendenti sulla sicurezza informatica e fare backup regolari dei dati.

Potrebbero interessarti anche questi articoli: