Virus Ransomware

by lrobusto

Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo.
Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.

I ransomware tipicamente si diffondono come i trojan, dei malware worm, penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete. Il software eseguirà poi un payload, che ad esempio cripterà i file personali sull’hard disk. I ransomware più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L’autore del malware è l’unico a conoscere la chiave di decriptazione privata. Alcuni ransomware eseguono un payload che non cripta, ma è semplicemente un’applicazione che limita l’interazione col sistema, agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso, o addirittura modificando il master boot record e/o la tabella di partizione (il che impedisce l’avvio del sistema operativo finché non viene riparata).
I payload dei ransomware fanno anche uso di scareware per estorcere denaro all’utente del sistema. Il payload potrebbe ad esempio mostrare notifiche che credibilmente potrebbero essere state inviate dalla polizia federale o da varie compagnie, le quali affermano falsamente che il sistema sia stato usato per attività illegali o che contenga materiale illegale, pornografico o piratato. Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata.Queste tattiche forzano l’utente a pagare l’autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware. Questi pagamenti di solito vengono effettuati tramite bonifico, con sottoscrizione via SMS, con un pagamento online attraverso un servizio voucher come Ukash o Paysafecard, o, più recentemente, tramite Bitcoin (la valuta digitale).

Fonte: Ransomware

 

 

You may also like