Si chiamava DocEncryptered era un malware di nuova generazione scoperto sul finire del 2012 capace di rendere inaccessibili tutti i file DOC archiviati nell’hard disk della vittima. Da allora questa nuova tìpologia di malware venne classificata come ransomware (dall’inglese ransom, riscatto), ad indicare quei virus che, dopo aver infettato il sistema operativo, riescono a criptare tutti i file personali dell’utente bloccandone l’accesso fino a quando non viene pagato un riscatto richiesto dagli stessi cybercriminali creatori del virus.
L’antivirus non basta
Nella maggior parte dei casi la diffusione dei ransomware avviene attraverso e-mail fasulle (le piu diffuse utilizzano i loghi di famosi corrieri come SLM e DHL, oppure quelli di Equitalia e TIM) che fungono da “cavallo di Troia” e invitano il destinatario a cliccare su un link o ad aprire un file allegato. Queste e-mail, come 1 file a queste allegati, sono generati e veicolati attraverso una botnet, cioè un insieme di server coordinati tra loro e dislocati in tutto il mondo che spediscono migliaia di messaggi simili ma con link e allegati diversificati. Solo in alcuni casi particolarmente fortunati, quindi, l’antivirus in uso sarà in grado di bloccare l’esecuzione di ogni specifico file generato dinamicamente sui server della botnet. Il più delle volte, invece, non essendo riconosciuto come una minaccia, il blocco del file si scatenerà indisturbato. L’unico modo per proteggerci è installare una sentinella in grado di segnalare e prevenire un possibile attacco come Malwareby tes Anti-Ransomware e poi, in caso di minaccia individuata e bloccata, ricorrere agli strumenti d i rimozione integrati in Avast Free Ransomware Decryption Tools per debellarla definitivamente. Ecco come.
LE CARATTERISTICHE PECULIARI DEI RANSOMWARE
Sono generalmente dei malware’mutanti*. La loro mutazione si ottiene attraverso l’attivazione di file totalmente diversi dal medesimo link ad intervalli di tempo molto ravvicinati, anche nell’ordine del quarto d’ora. Da questi link vengono scaricati i file che potranno scatenare la crittografazione dei file di dati oppure, in alternativa, l’attacco di altre tipologie di virus quali dropper, rootkit eccetera. Di fatto, con una frequenza di mutazione e distribuzione cosi ravvicinata, nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme di identificazione), sarà ragionevolmente in grado di bloccare preventivamente.
Hanno un periodo di incubazione praticamente nullo. L’attivazione del ransomware produce immediatamente i propri effetti malevoli e dannosi come la crittografazione dei file di uso più comune quali, ad esempio: DOC XLS, MDB, JPG eccetera e In più di qualche occasione anche i file di backup di alcuni dei più diffusi sistemi in uso.
Crittografano i dati con algoritmi estremamente sofisticati come AES o RSA, con chiavi da un minimo di 128/256 bit fino ad arrivare ai 2.048 bit, o più, rendendoli, di fatto, praticamente irrecuperabili.
Richiedono un riscatto, in molti casi in Bitcoin, attraverso la rete anonima Tor.Visto il notevole ritorno economico, quindi, I creatori del crypto-malware hanno tutto l’interesse a variare i file portatori del malware con la massima velocità di modo che nessun software antivirus, antispyware e antimalware possa intercettarli preventivamente.
