Cos’è un Ransomware

Quando si parla di ransomware  ci si riferisce adun tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per eliminare la limitazione.

Esistono così alcune forme di ransomware che bloccano il sistema invitando l’utente a pagare per sbloccare il sistema.

Altri invece ransomware criptano i file dell’utente chiedendo di pagare per riportare i file criptati nella loro posizione originaria intellegibile.

Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora presenti  in tutto il mondo.

La vastità del fenomeno è stata confermata nel giugno 2013 quando la casa di software McAfee, specializzata in software di sicurezza, ha rilevato che  nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente.

Clamoroso il caso di CryptoLocker, un worm ransomware apparso alla fine del 2013, che attraverso la suddetta modalità ha estorto presso gli utenti circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.

I ransomware tipicamente si diffondono come i trojan penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete.

Il software eseguirà poi un payload (e cioè un’azione sui file del pc) che ad esempio andrà a criptare i file personali sull’hard disk.

Ovviamente l’autore del malware è l’unico a conoscere la chiave di decriptazione privata.

I payload dei ransomware fanno anche uso di scareware (ossia tecniche di marketing) per estorcere denaro all’utente del sistema.

Il payload potrebbe ad esempio mostrare notifiche che credibilmente potrebbero essere state inviate dalla pubblica autorità o da società con le quali si afferma falsamente che il sistema è stato utilizzato per attività illegali o che conteniene materiale illegale, pornografico o piratato.

Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che nel pc potrebbe essere installata un sistema Windows contraffatto, che va quindi riattivato.

Si tratta comunque di comportamenti fraudolenti che inducono necessariamente l’utente a pagare l’autore del malware al fine di rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware.

Pagamenti che si  di solito vengono effettuati tramite bonifico, o anche attraverso Bitcoin.

Rischi, questi, che possono ridursi se il pc è dotato di idoneo antivirus (v. al riguardo il relativo post clicca qui).