mercoledì 8 febbraio 2017 di Michele Nasi 4638 Letture

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Cos'è un ransomware, come difendere i dati dai malware che cifrano i file e richiedono un riscatto. Come provare a decodificare i file quando l'infezione fosse ormai già avvenuta.

I ransomware sono una delle minacce che hanno fatto registrare una maggiore crescita nel corso degli ultimi anni. Si tratta di oggetti malevoli che, una volta in esecuzione sul sistema dell'utente, cifrano i suoi file personali con una chiave crittografica mantenuta segreta.
I file altrui vengono così letteralmente "presi in ostaggio" e promettendo la loro decodifica si cerca di estorcere all'utente una somma in denaro. Il versamento deve generalmente avvenire usando la crittovaluta BitCoin: in questo modo la transazione avviene senza intermediari e non è tracciabile (diversamente sarebbe possibile, agevolmente, risalire all'identità dei criminali informatici).
Spesso la somma di denaro richiesta dal ransomware aumenta con il trascorrere del tempo; in caso di mancato pagamento, la chiave di decodifica viene definitivamente cancellata.

Cos'è un ransomware e perché è difficile recuperare i file cifrati

Il ransomware in sé altro non è che una normale applicazione che, una volta eseguita, provvede a cifrare i file dell'utente.


I ransomware utilizzano algoritmi crittografici che, in genere, non sono violabili. L'algoritmo RSA, ad esempio, così come gli altri algoritmi crittografici di tipo asimmetrico, poggia il suo funzionamento sull'uso di una chiave privata e di una pubblica (per questo si dicono "asimmetrici").

La coppia chiave privata/chiave pubblica viene utilizzata dal ransomware per cifrare tutti i file personali dell'utente o comunque quelli che hanno specifiche estensioni (.DOC, .XLS, .DOCX, .XLSX, .PDF, .ODT, .MDB e così via).

I ransomware sfruttano quindi algoritmi crittografici nati per preservare la sicurezza delle proprie comunicazioni (e di cui tutti ci serviamo, ogni giorno, quando usiamo un'applicazione che poggia sulla cifratura end-to-end) per fini criminosi.
Diversamente dai software legittimi, infatti, i ransomware conservano la chiave pubblica sul sistema dell'utente mentre mantengono su server remoti, inaccessibili all'utente, la chiave privata.

La differenza è tutta qui: ogni messaggio e quindi ogni file crittografato con una certa chiave pubblica può essere decodificato soltanto usando la corrispondente chiave privata.
I criminali informatici che sviluppano i ransomware, si guardano bene dal fornire la chiave privata alle vittime e la rilasciano solo a fronte dell'eventuale versamento di un riscatto in denaro.

Dicevamo che i ransomware usano di solito algoritmi crittografici soliti e universalmente riconosciuti come sicuri.
L'algoritmo RSA, per esempio, non ha evidenziato debolezze intrinseche: non è quindi possibile sfruttare una sua "debolezza" per decifrare i file crittografati da un certo ransomware.
Tanto più che nella stragrande maggioranza dei casi i ransomware usano chiavi a 2.048 o addirittura 4.096 bit rendendo materialmente impossibili gli attacchi.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Il funzionamento di un ransomware in breve. Fonte: Cisco.

RSA è basato sull'elevata complessità computazionale della fattorizzazione in numeri primi (scomporre un numero nei suoi divisori primi è un'operazione molto lenta che richiede un impegno notevole in termini di risorse hardware). RSA-2048 e RSA-4096 (algoritmo RSA con l'utilizzo di chiavi a 2048 e 4096 bit) non sono stati fattorizzati e non lo saranno ancora, presumibilmente, per molti anni, anche considerando i progressi che si stanno facendo nell'ottimizzazione delle risorse computazionali: basti pensare alla potenza di calcolo messa a disposizione da molti servizi cloud oppure dalle stesse GPU di fascia più alta.

L'unica speranza per recuperare i file cifrati, quindi, è che gli autori del ransomware abbiamo commesso qualche errore nell'implementazione degli algoritmi di cifratura.
Nel caso del ransomware TeslaCrypt, ad esempio, le chiavi crittografiche generate (compresa quella di decodifica) venivano prodotte usando numeri non primi e rendendo così fattibilissimo un attacco mirato anche con i moderni PC di fascia consumer.
Per le prime varianti di CryptoLocker bastava disporre di un solo file decodificato, nella sua forma originale, per ricostruire la chiave di decodifica per tutti i file.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

Nell'immagine, l'evoluzione dei ransomware fino "ai giorni nostri". Fonte: Cisco.

Per certi ransomware, poi, quando non è possibile estrarre il cosiddetto keystream, sono spesso vulnerabili ad attacchi di criptoanalisi.
Si tratta di tentativi di aggressione che non sono affatto immediati ma che talvolta riescono a portare all'estrazione della chiave privata a partire dalla generazione di apposite rainbow tables.

Ransomware sempre più attuali: come proteggersi

Come recentemente evidenziato da Malwarebytes (Ransomware sempre più pericolosi: Malwarebytes guarda alle tendenze malware negli ultimi mesi), i ransomware sono divenuti un lucroso business per una vasta schiera di criminali informatici.

Nel "mercato nero" esistono diversi strumenti che permettono di automatizzare la creazione di un ransomware: ciò significa che potenzialmente chiunque può creare un ransomware e iniziare a far soldi in modo illecito. Anche chi non dispone di alcuna competenza in materiali di sviluppo (Ransomware-as-a-Service).

Per dare un'idea di quanto sia remunerativo il "fenomeno ransomware" per i criminali informatici, basti pensare che Locky, uno dei malware capaci di "sequestrare" i file degli utenti più attivi nel 2016 ha generato qualcosa come 1,6 milioni di dollari di profitti al giorno calcolando che giornalmente sono 2.600 circa gli utenti che decidono di pagare (fonte dei dati: Cisco):


Per evitare i ransomware e proteggere i propri dati, quindi, suggeriamo di seguire alcune semplici ma efficacissime regole:

1) Attenersi a tutti i suggerimenti pubblicati nell'articolo Come non prendere virus e malware quando si scaricano programmi ponendo sempre la massima attenzione alla provenienza delle email e agli eventuali allegati presenti.

È bene tenere a mente che alcune email sono preparate in maniera tale da trarre in inganno chi le riceve. I malintenzionati possono realizzare email phishing che specificano come mittente una persona ben nota in azienda, un collaboratore fidato oppure un cliente ricorrente.
E, talvolta, gli stessi criminali informatici possono spingersi addirittura più avanti registrando un dominio molto simile a quello dell'azienda da aggredire.
Spedendo email fasulle dal dominio similare e indicando come mittente, per esempio, il CEO dell'azienda, i messaggi supereranno senza problemi i filtri antispam e, con ogni probabilità, finiranno nelle caselle di posta in arrivo dei destinatari.

2) Anche in azienda, oltre a un sistema di protezione centralizzato, è bene servirsi possibilmente di soluzioni come Malwarebytes 3.0 (Malwarebytes 3.0 sostituirà gli antivirus tradizionali) e HitmanPro.Alert () che integrano una efficace protezione nei confronti dei ransomware.

3) Effettuare sempre backup dei dati e utilizzare un server NAS per memorizzare le copie dei file più importanti memorizzati su ogni singola workstation.

4) Fare in modo che sia il server NAS a creare una copia dei file e a memorizzarli sui suoi dischi fissi. Molti ransomware, infatti, aggrediscono non soltanto i file conservati nelle unità locali ma anche quelli accessibili attraverso le cartelle condivise in rete locale (a tal proposito, verificare di aver protetto le cartelle condivise con nome utente e password).


5) Sui server NAS attivare sempre il versioning dei file. Nel caso in cui dovesse malauguratamente verificarsi un'infezione che interessasse anche i file memorizzati sul NAS, dopo aver rimosso il ransomware si potranno recuperare e ripristinare le precedenti copie dei file.

6) Attenziona anche ai file che si scaricano dai social network: quelli che all'apparenza vengono presentati come immagini o file assolutamente legittimi nascondono invece il codice che provoca l'insediamento sul sistema del ransomware: Attacco ransomware sui social network con false immagini.

Come recuperare i file codificati dai ransomware

Come abbiamo visto, non sempre è possibile recuperare i file crittografati da un ransomware.

Il primo passaggio per capire se si hanno chance per il recupero dei file cifrati, però, consiste nel verificare quale ransomware ha crittografato i dati:

1) Uno dei migliori servizi in tal senso è ID Ransomware che aiuta a stabilire l'identità del ransomware che ha fatto razzìa dei file partendo dalle istruzioni esposte dal malware e da un qualunque file cifrato.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

E se la conoscenza è già metà della battaglia, il servizio ID Ransomware offre un validissimo aiuto perché consente di stabilire l'identità di circa 300 ransomware differenti.
Nei casi in cui il recupero immediato dei dati fosse effettivamente possibile, ID Ransomware restituirà i riferimenti agli strumenti software da adoperare.

2) Il forum di Bleeping Computer fa il paio con ID Ransomware: qui, infatti, è spesso possibile sapere in anteprima se fosse stata individuata una strategia per sconfiggere il ransomware e procedere con il recupero gratuito dei file cifrati.


3) Simile a ID Ransomware è No More Ransom, iniziativa promossa da Kaspersky in collaborazione con Intel Security, Europol e la polizia olandese: Ransomware: non pagare il riscatto. Parola di Kaspersky.

Ransomware: cos'è, come proteggersi e recuperare i file cifrati

No More Ransom integra il servizio Crypto Sheriff che consente di tracciare un identikit del ransomware semplicemente inviando al sistema di verifica una coppia di file cifrati e le istruzioni per il versamento del denaro esposte dal malware.

La sezione Decryption tools propone una raccolta di tool per la decodifica dei file cifrati da diversi ransomware.
A tal proposito, è bene scaricare anche il software Ransomware File Decryptor continuamente aggiornato da Trend Micro e capace di riportare in chiaro i file cifrati da diversi malware.

Molto utile anche la pagina allestita da EmsiSoft, con un'ampia raccolta di decrypter per diverse famiglie di ransomware.

4) Tra le società più attive nel contrastare il "fenomeno ransomware" c'è Dr. Web. L'azienda russa, peraltro non conosciutissima in Italia, offre soluzioni particolarmente efficaci per la decodifica dei file cifrati dai ransomware.
Utilizzando questa pagina, indipendentemente dal fatto che si possegga o meno una licenza dei prodotti antimalware Dr. Web, sarà possibile chiedere l'intervento gratuito dei tecnici della società per controllare la fattibilità del recupero dei file cifrati.
Se uno dei prodotti Dr. Web era installato al momento dell'infezione, la società nulla richiederà per fornire lo strumento di decodifica dei file cifrati nel caso in cui ciò fosse materialmente possibile (per maggiori informazioni vedere l'articolo Cryptolocker e altri ransomware: come decodificare i file).