Tutte le informazioni importanti sul ransomeware
Il ransomware è un malware che può causare gravi danni economici alle persone colpite. L'Ufficio federale per la sicurezza delle informazioni segnala in un foglio informativo che gli attacchi informatici da parte di ransomware sono in costante aumento dal 2016. È quindi tanto più importante che gli utenti si informino su come funziona questo ransomware e su come è protetto.
Che cos'è il ransomware?
Ransomware: definizione
Il ransomware è un malware che crittografa programmi e file su un computer o un server. I criminali ricattano le aziende, ma anche gli utenti privati. Chiedono denaro per l'attivazione dei dati crittografati.
Il termine “ransomware” è composto dal termine inglese “ransom”, in tedesco “ransom” e “software”. Il ransomware è quindi "software di riscatto". In tedesco è anche chiamato ransomware o trojan ricatto. Un altro nome è "crittografia trojan".
Come si ottiene il nome? I criminali informatici creano software che crittografa tutti o i file importanti su un computer o sistema informatico di terze parti. Alcuni software di ricatto bloccano anche l'intero computer. I ricattatori o gli aggressori chiedono quindi un riscatto alle loro vittime in modo che i file possano essere nuovamente decifrati o che i computer possano essere sbloccati. I criminali di solito visualizzano la richiesta di riscatto direttamente sullo schermo del dispositivo interessato. Spesso è richiesto il pagamento in bitcoin in modo che le forze dell'ordine non possano facilmente tracciare il percorso del denaro.
Il ransomware viene introdotto clandestinamente in computer di terze parti tramite malware, ad esempio tramite Trojan o virus informatici.
Ransomware: tipi e varianti
Esistono fondamentalmente due diversi tipi di ransomware:
- Screenlocker: questo ransomware blocca lo schermo o l'utilizzo del computer infetto. Questo programma dannoso continua a spingere in primo piano la schermata di blocco con il messaggio di ricatto, indipendentemente dal programma avviato dall'utente. Una sottovariante di questo ransomware è il cosiddetto "App-Locker". Questo programma dannoso impedisce l'accesso ad app o programmi su computer, tablet o smartphone. Il ransomware blocca l'accesso del computer al server dell'app. Come con il classico armadietto dello schermo, anche l'applocker invia all'utente un messaggio sull'importo del riscatto richiesto.
- File Encrypter: con questa variante, alcuni o tutti i file sul computer infetto vengono crittografati. Per enfatizzare l'estorsione, i criminali rubano foto o file privati e minacciano di pubblicarli se il denaro richiesto non viene pagato in tempo. I criptatori di file sono per lo più implementati come Trojan di crittografia, noti anche come "Crypto Trojan". Alcuni di questi programmi dannosi crittografano solo singole aree, ad esempio foto o coordinate bancarie. Altri codificano l'intero sistema informatico o tutti i file su un server. Il ransomware attacca il sommario del disco rigido in modo mirato.
Esistono anche forme ibride di ransomware che combinano app e screen logger oltre a criptatori di file. Recuperare tutti i file dopo l'attacco diventa ancora più difficile per le persone colpite.
Info: da quando esistono i trojan crittografici?
Ricattare gli utenti di computer con il software non è una nuova invenzione. Il cosiddetto “Disco di Troia dell'AIDS” era già in circolazione nel 1989. Era un disco che il biologo Joseph L. Popp ha inviato a 20.000 partecipanti alla Conferenza mondiale sull'AIDS. Il floppy disk conteneva malware che ha crittografato il disco rigido del computer interessato.
Il ricattatore Popp ha chiesto 189 dollari americani alle sue vittime per l'attivazione dei dati. Le persone colpite dovrebbero trasferire la somma a una società chiamata "PC Cyborg" con sede a Panama. Il nome della società alla fine ha dato il nome al primo ransomware conosciuto: "PC Cyborg Trojan".
Nel 2011, il primo trojan crittografico è stato finalmente distribuito su Internet. Era TROJ_PGPCODER.A. I criminali informatici hanno chiesto un riscatto di diverse centinaia di dollari statunitensi agli utenti interessati per sbloccare nuovamente il computer.
Come funziona il ransomware e come arriva sui computer?
A differenza dei virus informatici o dei worm Internet, il ransomware è solitamente un software più complesso. Perché prima il malware deve raggiungere il computer e bloccare o crittografare i file lì. Per questo è necessario un lavoro di programmazione più ampio.
In contrasto con la complessità della programmazione, la diffusione del ransomware è semplice e simile all'essere infettati da worm o virus. Ad esempio, il malware può entrare in un computer tramite allegati di posta elettronica infetti o tramite siti Web manipolati. Fare clic su un allegato di posta elettronica compromesso o su un sito Web infetto avvia il ransomware. Si installa da solo sul computer.
Dopo l'installazione, il ransomware determina dove si trova il disco rigido del sistema e dove possono essere trovati i file da crittografare. Quindi genera una chiave e sovrascrive il record di avvio principale.
La crittografia o il blocco dello schermo non è quindi sempre immediato. A seconda del tipo di programmazione, gli hacker criminali possono crittografare i dati in un momento desiderato. A volte vengono programmati determinati trigger, ovvero condizioni in cui il ransomware diventa attivo.
Non appena si avvia, il file system esistente viene sovrascritto e crittografato dal ransomware. Dopo il riavvio, sullo schermo del computer verranno visualizzate le informazioni sull'estorsione con un ordine di pagamento. Il software è solitamente programmato in modo tale che il messaggio appaia ad ogni clic del mouse o ad ogni pressione di un tasto.
Alcuni hacker programmano il ransomware in modo tale che parte dei dati crittografati venga sempre bloccata al riavvio del computer. Altri metodi di ricatto prevedono la cancellazione dopo un certo periodo di tempo, in cui non viene trasferito denaro.
Informazioni:
Anche se programmare ransomware non è banale, di solito è facile per gli hacker acquistare programmi. Il Darknet gioca un ruolo importante qui. Qui è possibile acquistare set completi di software di ricatto. L'azione penale sulla Darknet è difficile per le autorità, poiché l'identità del provider può essere determinata solo con un grande sforzo tecnico.
In che modo esattamente i ricattatori ci guadagnano?
Dopo un attacco ransomware, i ricattatori forniscono informazioni sulle modalità di pagamento in una pagina separata.
Il pagamento in Bitcoin a malapena tracciabile o tramite carte Paysafe o Ukash è comune. I criminali informatici promettono sulla pagina visualizzata che trasmetteranno il codice per la decrittazione non appena il denaro sarà stato trasferito. Tuttavia, i consumatori non dovrebbero aspettarsi che l'estorsione finisca automaticamente con il pagamento.
A seconda delle dimensioni e dell'importanza dei dati crittografati, i ricattatori fanno pagare da poche centinaia a diverse migliaia di dollari o euro.
Come riconosco il ransomware?
Sfortunatamente, la maggior parte degli utenti riconosce il ransomware solo dopo che il PC è già stato infettato. Quindi sullo schermo bloccato viene visualizzata una richiesta di riscatto che indica che il computer è stato bloccato o che i file sono stati crittografati. Molti utenti non possono più tracciare quando il loro computer è stato infettato, ad esempio con un allegato di posta elettronica.
In alcuni casi, i programmi antivirus emettono un allarme dopo l'esecuzione di una scansione antivirus. Tuttavia, non tutti i programmi di protezione antivirus rilevano il ransomware. Ciò vale anche per il software che non utilizza le definizioni dei virus più recenti. Il rilevamento del ransomware è reso più difficile dalla protezione antivirus perché il ransomware spesso si cancella automaticamente dopo che la funzione dannosa è stata eseguita.
In questo modo puoi proteggerti dai ransomware
Come altri malware, il ransomware utilizza falle di sicurezza nei sistemi operativi, app e software, nonché una protezione insufficiente dagli scanner antivirus per installarsi su un computer o uno smartphone. Puoi utilizzare queste misure per prevenire il ransomware.
Crea backup dei tuoi dati: |
I criminali informatici usano il ransomware per minacciare di eliminare i tuoi file. È quindi una misura efficace per salvare regolarmente tutti i file importanti. È meglio utilizzare un supporto di archiviazione offline come dischi rigidi esterni. Scollegare sempre questo disco rigido dal computer dopo aver salvato. Questo per garantire che nessun hacker possa accedervi. È inoltre sempre consigliabile creare un backup del sistema. Se un hacker ha eliminato il tuo sistema operativo e tutti i file su di esso, puoi ripristinarlo facilmente con il backup. Eseguire backup regolarmente. |
Utilizzare un programma antivirus con protezione ransomware: |
Utilizzando un programma antivirus, riduci il rischio di diventare vittima di software di ricatto. Installa sempre gli aggiornamenti necessari e gli aggiornamenti delle definizioni dei virus. |
Aggiorna sempre il tuo sistema operativo con nuovi aggiornamenti: |
Gli aggiornamenti per i sistemi operativi sono importanti per la sicurezza del tuo PC, perché gli aggiornamenti di solito colmano anche le lacune di sicurezza. |
Aggiorna il tuo software: |
Che si tratti di browser o programmi per ufficio, solo il software aggiornato offre una sicurezza di base sufficiente. I programmi attuali impediscono, ad esempio, al ransomware di entrare attraverso note falle di sicurezza. |
Plugin del browser: |
Molti programmi di protezione antivirus offrono plug-in del browser che rilevano script dannosi e impediscono l'accesso a siti Web infetti. |
Scanner e-mail: |
Attiva lo scanner e-mail del tuo software di protezione antivirus. Questi programmi ti impediscono di aprire file allegati infetti. La protezione antivirus può mettere in quarantena ed eliminare direttamente il ransomware. |
Usa un account ospite per accedere: | Se accedi sempre al tuo PC come amministratore, i criminali possono utilizzare il ransomware per raggiungere ancora più facilmente tutte le aree sensibili del tuo computer. Tuttavia, se usi il tuo PC come ospite con diritti limitati, i criminali non possono penetrare così profondamente nel tuo sistema informatico e sono limitate nelle loro opzioni. |
Ho un ransomware sul mio computer: cosa devo fare?
Se il tuo computer è affetto da ransomware, per il momento dovresti rimanere calmo, nonostante il messaggio sullo schermo.
-
Controlla il web per vedere se ci sono stati attacchi simili ai tuoi. Molti ricattatori menzionano anche il tipo di Trojan che hanno con la richiesta di riscatto. Spesso i ricattatori consentono ancora la funzione browser. Dopotutto, il riscatto dovrebbe di solito essere pagato online e tramite la rete Tor. Se conosci il tipo di infezione, di solito puoi trovare soluzioni adatte su Internet su come sbarazzarti del ransomware. Un possibile punto di contatto è "ID Ransomware". Lì troverai soluzioni su come violare la crittografia da un ransomware noto.
-
Avvertire la polizia se i dati sono già stati rubati o cancellati.
-
Se hai un backup dei tuoi dati, puoi provare a sbarazzarti del ransomware con uno scanner antivirus o uno scanner antivirus online. Dopo averlo rimosso, dovresti riavviare il sistema operativo. È quindi possibile trasferire i dati dal backup al computer.
Rimuovere il ransomware: ecco come
L'unico modo per rimuovere il ransomware è scansionarlo con un antivirus aggiornato. Pertanto, dovresti sempre eseguire il tuo PC con un potente programma antivirus.
Avvia una scansione antivirus con esso. Se il ransomware è stato eliminato dopo l'avvio, molti scanner non riconoscono più il malware. L'unica cosa che può aiutare qui è reinstallare il sistema operativo.
Ransomware conosciuto
Negli ultimi anni c'è stata una varietà di ransomware che ha danneggiato consumatori e aziende in tutto il mondo.
- Petya: Questo malware ha causato il riavvio dei PC e ha reso i file sui computer interessati irriconoscibili al computer. Petya non ha quindi crittografato i file, ma ne ha impedito l'accesso. Gli hacker hanno messo la richiesta di riscatto dietro Petya sulla lockscreen. Tuttavia, da quando è apparso per la prima volta nel 2016, Petya è stato decifrato. Di conseguenza, oggi non è possibile fare quasi nessun danno con il file originale.
- Locky: Il ransomware Locy si è diffuso anche nel 2016. Ha usato principalmente allegati di posta elettronica. Le principali vittime sono state le strutture sanitarie. A Los Angeles, un ospedale ha pagato 17.000 dollari per riavere i dati dei pazienti. Alla fine del 2016, gli attacchi sono quasi scomparsi di nuovo.
- Voglio piangere: Nel 2022-2023, il ransomware Wannacry si è diffuso rapidamente in tutto il mondo. Ha sfruttato una falla di sicurezza nel sistema operativo Windows, specialmente in Windows 7. Dopo che Windows ha fornito ai suoi utenti le patch, la falla di sicurezza è stata chiusa. Il servizio segreto americano NSA ha svolto un ruolo fondamentale in Wannacry. Conosceva la vulnerabilità molto prima che venisse utilizzata dagli hacker per scopi criminali. Wannacry ha colpito non solo i privati, ma anche aziende di tutto il mondo, tra cui Deutsche Bahn, le case automobilistiche Nissan e Renault, banche cinesi e ministeri di paesi di tutto il mondo.
Conclusione: il ransomware è pericoloso, ma con prevenzione e protezione può essere prevenuto
Il ransomware può causare gravi danni e, soprattutto, causare incertezza tra gli utenti. Tuttavia, se prendi precauzioni con backup e programmi aggiornati, nonché una protezione antivirus aggiornata, puoi ridurre il rischio di infezione da ransomware.