Cari lettori , nell’articolo precedente abbiamo parlato di attacchi informatici tramite i temutissimi Ransomware , oggi andremo a vedere una procedura su come decriptare i file infettati dal Ransomware .

Prima di iniziare voglio fare una premessa, ricordati che è sempre consigliabile fare il salvataggio dei dati in più posti ed essere diffidenti prima di aprire qualsiasi file ricevuto.

Giornalmente sentiamo parlare di attacchi informatici avvenuti tramite i Ransomware, sia da parte di privati che da parte di grandi aziende, ma cos’è un Ransomware?

Un ransomware è un tipo di malware che limita l’accesso al dispositivo che viene infettato, per poi richiedere un riscatto da pagare per rimuovere la limitazione (limitazione che nella maggior parte dei casi anche dopo aver pagato il riscatto non viene rilasciata).

Il ransomware quando viene avviato cripta i file importanti sui sistemi di archiviazione locale e sui dischi di rete, di solito parte dai file che iniziano con la lettera Z per poi risalire la scala ed arrivare alla lettera A.

Prima di fare tutta questa procedura, di solito effettua la copia dei dati che nella maggior parte dei casi anche se viene pagato il riscatto per avere la chiave di decriptazione vengono venduti sul dark web.

Di solito i dati che vengono criptati sono:

  • Microsoft Office: .xlsx, .docx e .pptx oltre alle versioni dei documenti più vecchie
  • Immagini: .jpeg, .png, .jpeg, .gif
  • Immagini a uso aziendale: .dwg
  • Dati: .sql e .ai
  • Video: .avi, .m4a, .mp4

La maggior parte dei ransomware in circolazione quando viene eseguito prende di mira i file di Microsoft Office perché contengono informazioni aziendali critiche, come potete immaginare prendere di mira i file importanti aumenta la possibilità di ottenere il pagamento di un riscatto per avere la chiave di decriptazione.

Spesso nelle mail di phishing vengono inclusi i ransomware, che sono diversi dagli altri malware, dopo l’attivazione (nella maggior parte dei casi) viene eseguito quando un utente apre un allegato o clicca su un link contenuto appunto in una mail di phishing, il malware viene scaricato da un server che è controllato dall’attaccante.

Non è detto che il ransomware viene eseguito subito dopo essere stato scaricato, può rimanere inattivo e attendere lo start dell’attaccante. La crittografia che effettua il ransomware può essere asimmetrica o simmetrica, recenti attacchi ransomware hanno utilizzato entrambe le tecniche.

Quando ti accorgi che i tuoi file sono stati criptati e l’attaccante ti chiede un riscatto, DON’T PANIC….. 😊

La prima cosa da fare è scollegare subito il computer dalla rete (se sei connesso ad una rete di casa o dell’ufficio), questo perché evita la propagazione del Ransomware.

La seconda cosa che invece non devi fare è SPEGNERE IL COMPUTER, la maggior parte dei virus al riavvio del computer eseguono determinate funzioni.

Scollegato il computer dalla rete abbiamo isolato il Ransomware , ovviamente se nel computer infetto cera una chiave USB o un disco esterno, scolleghiamoli immediatamente (poi verificheremo il danno).

Adesso dobbiamo rimuovere il Ransomware, (in rete ci sono software adatti per questo tipo di funzione), quelli migliori ovviamente sono a pagamento, c’è la possibilità si avere un periodo di solito di 30 giorni ma come potete immaginare la versione free è limitata.

Una volta eliminato il Ransomware dobbiamo dedicarci alla decriptazione dei file infettati, fortunatamente ci sono siti online che possono darci una mano, quello che andremo a vedere oggi si chiama https://www.nomoreransom.org/

Nella home page del sito possiamo vedere tutte le opzioni che ci possono servire.

Come prima cosa selezioniamo il pulsante:

Compilando il modulo sottostante, consentirà al portale di verificare se c’è una soluzione disponibile, nel caso vi sia una soluzione, verrà fornito un link per scaricare il software che effettuerà la decriptazione.

La decriptazioen dei file nella maggior parte dei casi è possible per i seguenti motivi:

  • Gli autori del malware hanno fatto un errore d’implementazione ed è possibile forzare la codifica. E’ il caso, per esempio, dei ransomware Petya e CryptXXX.
  • Gli autori del malware si pentono delle loro azioni e pubblicano le chiavi oppure rilasciano una master key, come nel caso di TeslaCrypt.
  • Le forze dell’ordine sequestrano un server sul quale sono contenute le chiavi e le condividono. Un esempio è il caso di CoinVault.

A volte funziona anche pagando il riscatto non ci sono garanzie che pagando vedrete decriptati i vostri file. Così facendo contribuirete a rendere più forte un modello economico criminale e, di conseguenza, vi renderete responsabili dell’ulteriore diffusione del ransomware e della contaminazione di un numero sempre maggiore di dispositivi.

Tipi di ransomware

Ransomware di criptazione

  • Permette di criptare cartelle e file personali (documenti, fogli excel, immagini e video).
  • I file infettati, una volta che sono stati criptati, vengono cancellati, e gli utenti generalmente ricevono un file di testo con le istruzioni per il pagamento, nella stessa cartella dove si trovano adesso i file inaccessibili.
  • Si scopre il problema solo quando si cerca di aprire uno di questi file.
  • Alcuni tipi di encryption software (ma non tutti) bloccano lo schermo del dispositivo infettato:

Lock Screen Ransomware — WinLocker

  • Blocca il desktop del computer, e richiede il pagamento.
  • Presenta un’immagine a schermo intero su tutto il desktop, che blocca tutte le altre finestre, impedendo qualsiasi operazione.
  • Nessun file personale è criptato.

Master Boot Record (MBR) Ransomware

  • Il Master Boot Record (MBR) fa parte dell’hard drive del computer, e consente al sistema operativo di avviarsi.
  • Il ransomware MBR cambia il Master Boot Record MBR, o settore di avvio principale del computer, in modo da interrompere il processo di avvio.
  • Invece sullo schermo appare una richiesta di pagamento di un riscatto.

Ransomware per criptare server web

  • Prende di mira i web-server, e cripta un certo numero di file che si trovano sul server stesso.
  • Le vulnerabilità dei CMS sono spesso sfruttate per diffondere i ransomware sui server.

Ransomware per dispositivi mobili (Android)

  • I dispositivi mobili (per lo più Android) possono essere infettati eseguendo “downloads drive-by” di programmi da Internet, o da ads, pop-up, etc.”.
  • Tali dispositivi possono essere infettati anche attraverso false applicazioni, mascherate come servizi ben noti (Adobe Flash o prodotti anti-virus).

Arrivati a questo punto passiamo alla fase download del software per decriptare i file infetti, selezionando il pulsante:

Dopo aver intercettato il tipo di Ransomware possiamo effettuare il download, (vedere la guida)

Consigli per gli utenti

  1. Eseguite regolarmente il backup dei dati memorizzati sul vostro computer, in modo che un’infezione da ransomware non distrugga per sempre i vostri dati personali.
  2. È meglio creare due copie di backup: una memorizzata nel cloud (ricordati di usare un servizio che faccia un backup automatico dei tuoi file) e una memorizzata fisicamente (disco rigido portatile,laptop, ecc.) ricordati di scollegarli dal tuo computer quando hai finito.
  3. Windows e Apple forniscono i loro computer con funzionalità di backup cloud integrate come il normale backup di Windows o la Time Machine di Apple. Le vostre copie di backup vi saranno utili anche nel caso in cui cancellaste accidentalmente un file critico o aveste un guasto al disco rigido.
  4. Non cliccare sui collegamenti presenti in email di spam, inaspettate o sospette.
  5. Evitare di condividere dati personali.
  6. Siate meticolosi con i dati sensibili.
  7. Usa l’autenticazione a più fattori sui tuoi account online importanti.
  8. Siate prudenti durante la navigazione in internet e non cliccate su link sospetti, pop-up o finestre di dialogo.
  9. Non collegate mai chiavette USB sconosciute ai vostri sistemi.
  10. Abilita l’opzione “Mostra le estensioni dei file” nelle impostazioni di Windows sul tuo computer.
  11. Attivare il firewall locale.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.