11012 Letture
Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Cos'è un ransomware, come difendere i dati dai malware che cifrano i file e richiedono un riscatto. Come provare a decodificare i file quando l'infezione fosse ormai già avvenuta.

I ransomware sono una delle minacce che hanno fatto registrare una maggiore crescita nel corso degli ultimi anni. Si tratta di oggetti malevoli che, una volta in esecuzione sul sistema dell'utente, cifrano i suoi file personali con una chiave crittografica mantenuta segreta.
I file altrui vengono così letteralmente "presi in ostaggio" e promettendo la loro decodifica si cerca di estorcere all'utente una somma in denaro di entità variabile. Il versamento deve generalmente avvenire usando la crittovaluta BitCoin: in questo modo la transazione avviene senza intermediari e non è tracciabile (diversamente sarebbe possibile, agevolmente, risalire all'identità dei criminali informatici).
Spesso la somma di denaro richiesta dal ransomware aumenta con il trascorrere del tempo; in caso di mancato pagamento, la chiave di decodifica viene definitivamente cancellata.

Cos'è un ransomware e perché è difficile recuperare i file cifrati

Il ransomware in sé altro non è che una normale applicazione che, una volta eseguita, provvede a cifrare i file dell'utente.


I ransomware utilizzano algoritmi crittografici che, in genere, non sono violabili. L'algoritmo RSA, ad esempio, così come gli altri algoritmi crittografici di tipo asimmetrico, poggia il suo funzionamento sull'uso di una chiave privata e di una pubblica (per questo si dicono "asimmetrici").

La coppia chiave privata/chiave pubblica viene utilizzata dal ransomware per cifrare tutti i file personali dell'utente o comunque quelli che hanno specifiche estensioni (.DOC, .XLS, .DOCX, .XLSX, .PDF, .ODT, .MDB e così via).

I ransomware sfruttano quindi algoritmi crittografici nati per preservare la sicurezza delle proprie comunicazioni (e di cui tutti ci serviamo, ogni giorno, quando usiamo un'applicazione che poggia sulla cifratura end-to-end) per fini criminosi.
Diversamente dai software legittimi, infatti, i ransomware conservano la chiave pubblica sul sistema dell'utente mentre mantengono su server remoti, inaccessibili all'utente, la chiave privata.

La differenza è tutta qui: ogni messaggio e quindi ogni file crittografato con una certa chiave pubblica può essere decodificato soltanto usando la corrispondente chiave privata.
I criminali informatici che sviluppano i ransomware, si guardano bene dal fornire la chiave privata alle vittime e la rilasciano solo a fronte dell'eventuale versamento di un riscatto in denaro.

Dicevamo che i ransomware usano di solito algoritmi crittografici soliti e universalmente riconosciuti come sicuri.
L'algoritmo RSA, per esempio, non ha evidenziato debolezze intrinseche: non è quindi possibile sfruttare una sua "debolezza" per decifrare i file crittografati da un certo ransomware.
Tanto più che nella stragrande maggioranza dei casi i ransomware usano chiavi a 2.048 o addirittura 4.096 bit rendendo materialmente impossibili gli attacchi.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Il funzionamento di un ransomware in breve. Fonte: Cisco.

RSA è basato sull'elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è un'operazione molto lenta che richiede un impegno notevole in termini di risorse hardware). RSA-2048 e RSA-4096 (algoritmo RSA con l'utilizzo di chiavi a 2048 e 4096 bit) non sono stati fattorizzati e non lo saranno ancora, presumibilmente, per molti anni, anche considerando i progressi che si stanno facendo nell'ottimizzazione delle risorse computazionali: basti pensare alla potenza di calcolo messa a disposizione da molti servizi cloud oppure dalle stesse GPU di fascia più alta.

L'unica speranza per recuperare i file cifrati, quindi, è che gli autori del ransomware abbiamo commesso qualche errore nell'implementazione degli algoritmi di cifratura.
Nel caso del ransomware TeslaCrypt, ad esempio, le chiavi crittografiche generate (compresa quella di decodifica) venivano prodotte usando numeri non primi e rendendo così fattibilissimo un attacco mirato anche con i moderni PC di fascia consumer.
Per le prime varianti di CryptoLocker bastava disporre di un solo file decodificato, nella sua forma originale, per ricostruire la chiave di decodifica per tutti i file.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Nell'immagine, l'evoluzione dei ransomware fino "ai giorni nostri". Fonte: Cisco.

Per certi ransomware, poi, quando non è possibile estrarre il cosiddetto keystream, sono spesso vulnerabili ad attacchi di criptoanalisi.
Si tratta di tentativi di aggressione che non sono affatto immediati ma che talvolta riescono a portare all'estrazione della chiave privata a partire dalla generazione di apposite rainbow tables.

Ransomware sempre più attuali: come proteggersi

Compreso cos'è un ransomware, va detto che questo tipo di minacce sono quelle che hanno evidenziato una crescita più marcata nell'ultimo periodo.

Come recentemente evidenziato da Malwarebytes (Ransomware sempre più pericolosi: Malwarebytes guarda alle tendenze malware negli ultimi mesi), i ransomware sono divenuti un lucroso business per una vasta schiera di criminali informatici.

Nel "mercato nero" esistono diversi strumenti che permettono di automatizzare la creazione di un ransomware: ciò significa che potenzialmente chiunque può creare un ransomware e iniziare a far soldi in modo illecito. Anche chi non dispone di alcuna competenza in materiali di sviluppo (Ransomware-as-a-Service).

Per dare un'idea di quanto sia remunerativo il "fenomeno ransomware" per i criminali informatici, basti pensare che Locky, uno dei malware capaci di "sequestrare" i file degli utenti più attivi nel 2016 ha generato qualcosa come 1,6 milioni di dollari di profitti al giorno calcolando che giornalmente sono 2.600 circa gli utenti che decidono di pagare (fonte dei dati: Cisco).


WannaCry: un ransomware dotato di un'anima da worm

I worm sono minacce che sono in grado di autoreplicarsi, di solito sfruttando vulnerabilità di applicazioni e sistemi operativi (talvolta anche il firmware che fa funzionare un dispositivo hardware dotato di capacità di comunicazione).

WannaCry (uno degli appellativi con cui è conosciuto il ransomware che ha iniziato a diffondersi, su scala planetaria, a partire dal 12 maggio 2017) è dotato anche delle caratteristiche principali di un worm.
Una volta insediatosi su un sistema, esso "scandaglia" gli altri dispositivi collegati in rete con l'obiettivo di verificare se possano essere a loro volta attaccati.
L'infezione si propaga sia a fronte di un comportamento "avventato" da parte dell'utente (che ad esempio apre un allegato malevolo contenente il codice che "scatena" l'aggressione da parte del malware), sia sfruttando una vulnerabilità di Windows (che avrebbe dovuto essere stata già sanata mediante l'installazione di un aggiornamento distribuito, in questo caso, a metà marzo 2017).

Per evitare i ransomware e proteggere i propri dati, quindi, suggeriamo di seguire alcune semplici ma efficacissime regole:

1) Attenzione al materiale ricevuto via email. Non aprire gli allegati sui quali si hanno dei dubbi. Il mittente dell'email spesso può non essere quello reale
Attenersi a tutti i suggerimenti pubblicati nell'articolo Come non prendere virus e malware quando si scaricano programmi ponendo sempre la massima attenzione alla provenienza delle email e agli eventuali allegati presenti.

È bene tenere a mente che alcune email sono preparate in maniera tale da trarre in inganno chi le riceve. I malintenzionati possono realizzare email phishing che specificano come mittente una persona ben nota in azienda, un collaboratore fidato oppure un cliente ricorrente.
E, talvolta, gli stessi criminali informatici possono spingersi addirittura più avanti registrando un dominio molto simile a quello dell'azienda da aggredire.
Spedendo email fasulle dal dominio similare e indicando come mittente, per esempio, il CEO dell'azienda, i messaggi supereranno senza problemi i filtri antispam e, con ogni probabilità, finiranno nelle caselle di posta in arrivo dei destinatari.


L'utilizzo di filtri antivirus e antispam lato server, inoltre, non è garanzia di assoluta sicurezza. Alcuni messaggi contenenti allegati malevoli o link a siti web pericolosi possono comunque superare il controllo esercitato da tali filtri.

In generale, è bene non dare credito a nessun messaggio, neppure a quelli che sembrano arrivare da mittenti conosciuti: le intestazioni dell'email possono aiutare ad accorgersi di eventuali messaggi truffaldini.
Senza neppure aprire l'email, selezionando il messaggio e usando la combinazione di tasti CTRL+U, ci si può rendere conto quando un messaggio non è assolutamente partito dal server cui si appoggia il mittente.
Esaminando le intestazioni, infatti, si scorgeranno riferimenti a indirizzi IP stranieri, a conferma che il messaggio è quanto meno fasullo e, molto probabilmente, pericoloso.
Analizzando il sorgente di un messaggio, poi, si potrà vederlo nel suo formato "grezzo" riconoscendo subito gli URL ai quali puntano realmente i link presenti nell'email.

Per approfondire, suggeriamo la lettura dell'articolo Come riconoscere email phishing.

2) Servirsi di una buona soluzione antivirus/antispam lato server
Il fatto che qualche messaggio malevolo possa sfuggire dalle grinfie dell'antivirus/antispam, non significa che non si debba usare una soluzione simile lato server di posta.
Sia che si allestisca un server mail nella propria struttura aziendale che ci si appoggi a un provider esterno, è fondamentale che antispam e antivirus lavorino su tutte le caselle di posta bloccando automaticamente i messaggi dannosi.

Suggeriamo di scegliere un fornitore del servizio di posta elettronica che metta a disposizione un valido sistema antivirus/antispam operativo lato server. In questo modo, con buona probabilità, il provider sposterà nella posta indesiderata le email spedite dagli autori del ransomware o di un qualunque altro malware.


Dal momento che tali messaggi utilizzano tecniche di mail spoofing, vengono inviate da server spesso coinvolti nell'invio di spam ed hanno una struttura simile ai messaggi indesiderati, è possibile che con un buon sistema antivirus/antispam lato server i messaggi contenenti gli allegati nocivi non arrivino mai (o quasi) nella posta in arrivo (vedere anche Perché le mie email vanno nella cartella spam?).
È ovvio che è necessario porre la massima attenzione a quel "quasi". Se alcuni messaggi veicolo del ransomware dovessero arrivare nella casella di posta in arrivo, si dovrà essere certi di riconoscerli. E in questo senso un'operazione di formazione e informazione dei dipendenti o comunque dei collaboratori può aiutare, anche se da sola non aiuta a risolvere il problema alla radice.

3) Usare soluzioni di protezione che agiscono a livello di singola macchina client, che sono in grado di analizzare il comportamento di qualunque componente software e che fanno uso dell'intelligenza cloud.
Anche in azienda, oltre a un sistema di protezione centralizzato, è bene servirsi possibilmente di soluzioni come Malwarebytes 3.0 (Malwarebytes 3.0 sostituirà gli antivirus tradizionali) e HitmanPro.Alert (Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert) che integrano una efficace protezione nei confronti dei ransomware.

In ogni caso, suggeriamo di installare sempre prodotti antimalware che integrano funzionalità di analisi comportamentale ed intelligenza collettiva. Se l'approccio basato sull'utilizzo esclusivo delle firme virali ha già da tempo evidenziato tutte le sue lacune (le minacce più recente, da poco apparse in Rete - i cosiddetti "0-day"), i prodotti che fanno leva sull'analisi comportamentale e sull'intelligenza cloud possono offrire un buon livello di protezione.


4) Nelle PMI e nelle aziende di più grandi implementare un sistema per la gestione, a livello centralizzato, degli endpoint
Il mercato offre diverse soluzioni (alcune delle quali sono già state oggetto di approfondimenti su IlSoftware.it) che permettono di proteggere i singoli endpoint a livello centralizzato.
In questo modo è possibile tenere sempre sotto controllo lo stato in cui si trova ogni macchina client, bloccare download e installazione di software potenzialmente nocivi, applicare restrizioni che aiutino a prevenire sul nascere eventuali problemi.

5) Usare account utente standard per il lavoro quotidiano
Quando si lavora in Windows, per le attività di tutti i giorni, suggeriamo di utilizzare un account utente dotato di privilegi standard (e non un account amministrativo).
In caso di infezione da ransomware il danno sarebbe più limitato (ai soli file dell'utente in uso), l'aggressione non potrebbe diffondersi altrove e sarebbe possibile recuperare le eventuali copie shadow create da Windows (per cancellarle, infatti, sono infatti richiesti i diritti di amministratore) ovvero precedenti versioni dei file insieme con tutto il loro contenuto.

L'account amministratore dovrebbe essere utilizzato solo per le attività che ne richiedono strettamente l'utilizzo.
Per acquisire i diritti di amministratore con un account utente standard è necessario inserire la password amministrativa: tenendola segreta, si eviteranno gran parte dei problemi determinati, per esempio, da collaboratori e dipendenti.

In alcune aziende si utilizzano tutt'oggi programmi che per funzionare richiedono inderogabilmente l'utilizzo di un account amministrativo.
Premesso che si tratta di un esempio di cattiva programmazione (un'applicazione di comune utilizzo, come può essere un gestionale, non può richiedere necessariamente l'uso dei diritti di amministratore), è questo uno degli scenari più complessi da gestire.
Una possibile soluzione potrebbe essere quella di installare il programma in una macchina virtuale, mantenuta isolata rispetto al resto della rete.
Tutti i principali software per la virtualizzazione, infatti, consentono anche di creare macchine virtuali sprovviste della scheda di rete oppure isolate dalla rete locale "reale".


6) Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione
Uno degli espedienti più utilizzati in assoluto dagli aggressori informatici, è l'invio massivo di email spam contenenti allegati malevoli contraddistinti da una doppia estensione.
Dal momento che Windows (Windows 10 compreso) non indica mai la reale estensione dei tipi di file conosciuti (anche degli .exe), talvolta si potrebbe essere indotti ad aprire file che sembrano Zip oppure PDF quando in realtà viene avviato un pericoloso eseguibile.

A tal proposito, suggeriamo la lettura degli articoli Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi e dell'articolo Come non prendere virus e malware quando si scaricano programmi al punto 7) Attenzione alle vere estensioni dei file.

7) Effettuare sempre backup dei dati e utilizzare un server NAS per memorizzare le copie dei file più importanti memorizzati su ogni singola workstation
Le ultime varianti dei vari ransomware sono in grado, una volta in esecuzione sul sistema dell'utente, non soltanto di crittografare i file contenuti sulla singola macchina ma di cifrare anche tutti quelli contenuti all'interno della rete locale (quindi anche i file memorizzati su altre workstation o su server NAS).

Se una cartella condivisa in rete locale fosse raggiungibile ed accessibile dal sistema infetto, è altamente probabile che il ransomware inizi a cifrare anche il contenuto di tali risorse.

Non solo. Se una cartella condivisa o comunque sincronizzata sul cloud (si pensi ai client di OneDrive, di Dropbox o di Google Drive) fosse accessibile dall'interfaccia di Windows attraverso Esplora risorse, il ransomware cifrerà anche i dati salvati "sulla nuvola".


È quindi bene fare in modo che sia il server NAS a creare una copia dei file e a memorizzarli sui suoi dischi fissi: il NAS si collegherà alle singole workstation e creerà un backup a partire dal contenuto delle cartelle sui singoli computer collegati in rete locale.
L'importante è che il NAS sia configurato in modo tale da non cancellare le ultime copie di backup. Diversamente, in caso di infezione da ransomware, si avrà tra le mani soltanto un backup delle versioni cifrate dei propri file.

Sui server NAS, ove presente, è comunque sempre bene attivare il versioning dei file. Nel caso in cui dovesse malauguratamente verificarsi un'infezione che interessasse anche i file memorizzati sul NAS, dopo aver rimosso il ransomware si potranno recuperare e ripristinare le precedenti versioni degli stessi elementi.

8) Non sottovalutare la Cronologia file di Windows 8.1 e di Windows 10
Windows 8.1 e Windows 10 offrono Cronologia file, un comodo strumento che consente di mettere da parte i tradizionali software per il backup dei dati. Esso sostituisce la funzionalità Versioni precedenti di Windows 7 (le cosiddette copie shadow) e Windows Vista.

Cronologia file offre la possibilità di mantenere pieno controllo sulle varie versioni dei propri file e provvede automaticamente a creare backup aggiornati non appena vengono connesse le unità configurate per la memorizzazione dei dati.
Il grande vantaggio di Cronologia file è che il processo di backup è gestito autonomamente da Windows (con un approccio set and forget); inoltre viene garantito pieno supporto per le unità rimovibili e i percorsi di rete.

Se configurato bene (quindi per mantenere più copie di backup degli stessi file, create nel corso del tempo) Cronologia file è un'ottima soluzione nel caso di un'infezione da ransomware (vedere Recuperare file cancellati o vecchie versioni di documenti in Windows 10).


9) Attenzione anche ai file che si scaricano dai social network
Anche gli stessi social network sono piattaforme sempre più utilizzate dai criminali informatici per indurre gli utenti al download e all'installazione di ransomware e malware più in generale.

Quegli elementi che all'apparenza vengono presentati come immagini o file assolutamente legittimi possono invece celare il codice che provoca l'insediamento sul sistema del ransomware: Attacco ransomware sui social network con false immagini.

10) Aggiornare tutti i software che si utilizzano, sistema operativo compreso
Certi file malevoli (spesso in formato PDF o DOC), sfruttano anche vulnerabilità del software con cui possono essere aperti per eseguire codice malevolo.
È quindi fondamentale mantenere sempre aggiornati tutti i software che si utilizzano (quindi non soltanto Adobe Reader - peraltro sostituibile con altre applicazioni analoghe -, Office,...) ma anche il browser, tutti i plugin da questo utilizzati, il programma per la messaggistica e così via.

Anche il sistema operativo, poi, deve essere regolarmente aggiornato con l'installazione delle patch di sicurezza più recenti.
Di solito è possibile lasciare trascorrere un paio di settimane (a meno di problemi imminenti o comunque dell'esistenza di codici exploit già utilizzati da parte degli aggressori) dal momento in cui Microsoft rilascia gli aggiornamenti prima di procedere alla loro effettiva installazione (in modo da scongiurare eventuali problemi "della prima ora").

11) Controllare le porte esposte sulla WAN
Il router di solito utilizza il NAT (Network Address Translation), una tecnica che consente ai dispositivi collegati in rete locale di condividere un unico IP pubblico per comunicare in Internet con i sistemi remoti.
Di norma il router dovrebbe essere "inesistente" agli "occhi" di un sistema remoto e non dovrebbe esporre in Rete le porte di alcuna macchina locale (ad eccezione dei casi in cui si fosse appositamente attivato un componente server).


Consigliamo quindi di verificare sempre se e quali porte fossero aperte sul router e utilizzabili da remoto.
Un malware che fosse stato sviluppato per scandagliare la rete Internet alla ricerca di porte sui quali vi siano in ascolto servizi vulnerabili, potrebbe infatti provocare l'esecuzione di codice da remoto.

Il ransomware WannaCry, ad esempio, va alla ricerca della porta TCP 445 eventualmente aperta e prova a sfruttare la falla risolta da Microsoft con l'aggiornamento MS17-010. Tipicamente tale porta non è accessibile da remoto perché la funzionalità NAT del router non la espone di default.
Una volta in esecuzione su un singolo computer collegato alla rete locale (ad esempio perché un utente ha aperto un allegato dannoso…), però, WannaCry può effettuare una scansione di tutti i sistemi collegati in LAN e individuare quelli con la porta TCP 445 aperta e sprovvisti della patch Microsoft, diffondendosi così ulteriormente.

È bene comunque controllare sempre se e quali porte risultano aperte sul router e disattivare la funzionalità UPnP (Universal Plug and Play).
A tal proposito, vedere Configurare un router, le cose da fare dopo l'acquisto al paragrafo Il pericolo UPnP (Universal Plug and Play).

12) In ambito aziendale e negli studi professionali: isolare i sistemi "vitali"
In ambito business, per evitare che un attacco ransomware possa propagarsi sui sistemi che gestiscono informazioni critiche o che assolvono a compiti di primaria importanza, l'utilizzo delle VLAN (Virtual LAN) è la via.
Gli switch più moderni consentono infatti di isolare i sistemi e di evitare che certe tipologie di macchine possano in qualche modo interagire con altre.
Nell'articolo VLAN: cosa sono, come usarle e perché abbiamo presentato le VLAN ed è quindi palese come possano aiutare a mettersi al riparo da attacchi ransomware.
Un ransomware che riuscisse ad aggredire una porzione della LAN, non avrebbe effetto sulla VLAN alla quale sono connesse le macchine "critiche".


Come recuperare i file codificati dai ransomware

Come abbiamo visto, non sempre è possibile recuperare i file crittografati da un ransomware.

Il primo passaggio per capire se si hanno chance per il recupero dei file cifrati, però, consiste nel verificare quale ransomware ha crittografato i dati:

1) Uno dei migliori servizi in tal senso è ID Ransomware che aiuta a stabilire l'identità del ransomware che ha fatto razzìa dei file partendo dalle istruzioni esposte dal malware e da un qualunque file cifrato.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

E se la conoscenza è già metà della battaglia, il servizio ID Ransomware offre un validissimo aiuto perché consente di stabilire l'identità di circa 300 ransomware differenti.
Nei casi in cui il recupero immediato dei dati fosse effettivamente possibile, ID Ransomware restituirà i riferimenti agli strumenti software da adoperare.

2) Il forum di Bleeping Computer fa il paio con ID Ransomware: qui, infatti, è spesso possibile sapere in anteprima se fosse stata individuata una strategia per sconfiggere il ransomware e procedere con il recupero gratuito dei file cifrati.

3) Simile a ID Ransomware è No More Ransom, iniziativa promossa da Kaspersky in collaborazione con Intel Security, Europol e la polizia olandese: Ransomware: non pagare il riscatto. Parola di Kaspersky.


Ransomware: cos'è, come proteggersi e recuperare i file cifrati

No More Ransom integra il servizio Crypto Sheriff che consente di tracciare un identikit del ransomware semplicemente inviando al sistema di verifica una coppia di file cifrati e le istruzioni per il versamento del denaro esposte dal malware.

La sezione Decryption tools propone una raccolta di tool per la decodifica dei file cifrati da diversi ransomware.
A tal proposito, è bene scaricare anche il software Ransomware File Decryptor continuamente aggiornato da Trend Micro e capace di riportare in chiaro i file cifrati da diversi malware.

Molto utile anche la pagina allestita da EmsiSoft, con un'ampia raccolta di decrypter per diverse famiglie di ransomware.

4) Tra le società più attive nel contrastare il "fenomeno ransomware" c'è Dr. Web. L'azienda russa, peraltro non conosciutissima in Italia, offre soluzioni particolarmente efficaci per la decodifica dei file cifrati dai ransomware.
Utilizzando questa pagina, indipendentemente dal fatto che si possegga o meno una licenza dei prodotti antimalware Dr. Web, sarà possibile chiedere l'intervento gratuito dei tecnici della società per controllare la fattibilità del recupero dei file cifrati.
Se uno dei prodotti Dr. Web era installato al momento dell'infezione, la società nulla richiederà per fornire lo strumento di decodifica dei file cifrati nel caso in cui ciò fosse materialmente possibile (per maggiori informazioni vedere l'articolo Cryptolocker e altri ransomware: come decodificare i file).


Ransomware: cos'è, come proteggersi e recuperare i file cifrati - IlSoftware.it