Che cos’è un ransomware? Come si diffonde? E cosa comporta? Tutto quello che c’è da sapere sui più recenti e temuti virus informatici.
I ransomware sono una delle minacce che hanno registrato la crescita più forte negli ultimi anni. Si tratta di oggetti malevoli (malware, di cui abbiamo già parlato qui) che, una volta eseguiti sulla macchina dell’utente, cifrano i suoi file personali con una chiave crittografica mantenuta segreta, bloccandoli al proprietario.
I file vengono così letteralmente "presi in ostaggio" e solo il pagamento di un riscatto ne permetterà la decodifica. Più il tempo passa e più la somma di denaro richiesta aumenta, fino a che, al mancato pagamento dell’utente al termine di una scadenza, la chiave di decodifica viene definitivamente cancellata, facendogli così perdere i dati per sempre.
Il versamento di solito viene richiesto nella crittovaluta BitCoin: in questo modo la transazione avviene senza intermediari e non è tracciabile.
Tecnicismi
Il ransomware in sé altro non è che una normale applicazione che utilizza algoritmi crittografici, in genere non violabili. L'algoritmo RSA, ad esempio, così come gli altri algoritmi crittografici di tipo asimmetrico, poggia il suo funzionamento sull'uso di una chiave per cifrare il messaggio (chiave pubblica) e una per decifrarlo (chiave privata). Nonostante le chiavi siano dipendenti tra loro, non è possibile risalire all’una utilizzando l’altra e ciò rende questo metodo di crittografia, detto “asimmetrico”, uno dei più sicuri.
Nel caso del ransomware, questa coppia di chiavi viene usata dal virus per cifrare tutti i file personali dell’utente (o comunque quelli che hanno una determinata estensione come .doc, .pdf, .docx ecc.) e, mantenendo la chiave di decifratura segreta, impedendogli l’accesso ai suoi dati.
La differenza tra questi malware e i software legittimi sta nel fatto che, mentre la chiave pubblica rimane sul sistema dell’utente, la chiave privata viene tenuta su dei server privati, a cui gli utenti non possono accedere.
In sintesi: ogni file crittografato con una certa chiave pubblica può essere decodificato soltanto usando la corrispondente chiave privata e i ransomware altro non fanno che codificare la chiave pubblica e nascondere quella privata fino al pagamento di un riscatto.
Cosa sono i dati di cui stiamo parlando
Spesso accade che l’utente medio non prenda troppo sul serio queste indicazioni, in quanto non ha chiara l’idea di cosa siano questi “dati” di cui si impossessa un ransomware.
Quando parliamo di dati privati contenuti in un computer o in un server, non ci riferiamo soltanto al nome e alle foto personali dell’utente ma anche a particolari molto più privati, come l’indirizzo, il numero di telefono, i codici pin e le password che si usano per accedere a siti, mail e, perché no, conti in banca.
Se l’attacco a un privato può quindi essere molto nocivo, immaginate i livelli di danni che può fare questo virus ai server di ospedali, banche, compagnie telefoniche o pubbliche amministrazioni.
Come proteggersi
Vista la delicatezza delle informazioni da proteggere è quindi necessario usare delle semplici precauzioni:
1. Non aprire mai gli allegati mail sui quali si hanno dei dubbi. Il mittente dell'email può non essere quello reale quindi è bene controllare attentamente l’indirizzo (che potrà essere sì molto simile, ma mai uguale a quello originale) e il testo della mail, verificando che sia attendibile.
2. Utilizzare un buon antivirus/antispam lato server.
3. Utilizzare delle protezioni che agiscano a livello di singola macchina e non solo sul sistema centralizzato.
4. Quando si lavora in Windows, usare un account utente standard per il lavoro quotidiano e non uno amministratore. In questo modo non si aprono gli accessi a livelli superiori ad eventuali attacchi.
5. Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione.
6. Fare il backup dei dati preziosi. Tutti i file che servono devono essere salvati su un disco esterno che va staccato dal pc una volta completato il backup.
7. Le password di accesso alla mail, ai social e ai siti, infine, devono essere sufficientemente complesse e cambiate almeno ogni tre mesi.
8. Aggiornare tutti i software che si utilizzano, sistema operativo compreso.
Cosa fare se si viene colpiti da un ransomware
Premettendo che non sempre è possibile recuperare i dati che sono stati sottratti, come prima cosa, una volta che si viene colpiti da questo malware, è bene verificare quale ransomware ha crittografato i propri dati. Per fare ciò è necessario, a meno che non si sia esperti in materia, chiamare un professionista.
Nel caso in cui venga richiesto un pagamento, ricordiamo che cedere a un’estorsione è un reato e quindi è bene fare subito denuncia alla polizia postale.