In Evidenza

logo.png

 

Ricevere una email e scaricarne il contenuto è diventata un’attività che ognuno di noi compie ormai quotidianamente.index

In alcuni casi le email provenienti da mittenti sconosciuti o sospetti finiscono all’interno della posta indesiderata,

in altri, le email che riceviamo da mittenti conosciuti e che riteniamo

 attendibili potrebbero contenere dei virus, solitamente inseriti come allegati.

La caratteristica particolare di queste email è il loro contenuto, infatti in allegato troviamo un file zippato o con estensioni comuni (.pdf, .txt, ecc..). L'email sembra provenire da istituzioni e/o compagnie, a volte anche da contatti privati facilmente scambiabili come email innoque o attendibili.
I virus che si celano dietro questi falsi allegati sono i cosiddetti Ransomware, dall’inglese “ransom” che significa riscatto.

Infatti, questi allegati contengono un virus (trojan) che attua una particolare procedura volta all'avvio automatico del ransomware e al suo funzionamento.Successivamente, il ransomware avvia una procedura di criptazione dei file all'interno della macchina; solitamente i file "bersaglio" sono i file di uso comune come i file PDF (.pdf), i file word ed excel, i file di testo, ecc.. La criptazione rende illeggibile i file o bloccano tutto il sistema operativo.


A questo punto verrà richiesto all’utente un vero è proprio riscatto tramite la creazione di una serie di file "guida" (solitamente noti come "DECRYPT_FILE_INSTRUCTION") con diverse estensioni, quali .html (visualizzazione web), .jpg (immagine o screenshoot della schermata di riscatto) e .txt (file di testo con le istruzioni da seguire). Il pagamento è necessario per rilasciare la chiave di cifratura per la decriptazione e restituire i file con il loro contenuto intatto ai legittimi proprietari.

Solitamente il processo di pagamento avviene in diverse fasi:

  • Tramite i file guida viene chiesto all'utente di collegarsi, tramite l'utilizzo di un particolare browser chiamato TOR, ad un indirizzo remoto personale contenente ulteriori istruzioni sul pagamento;
  • Successivamente viene richiesto un pagamento in dollari o in bitcoin di valore incrementale e proporzionato ad un timer. Scaduto il tempo a disposizione, la somma viene raddoppiata.

In caso d’infezione è opportuno rimuovere il virus dal computer tramite appositi tool, quali Norton Power Eraser, sviluppato da Symantec e volto alla rimozione di malware e altro software dannoso.

Per quanto riguarda i file criptati, non esiste ancora un metodo di decriptazione essendo la chive di cifratura a 2048 bit; apparentemente la chiave di decriptazione è a disposizione solo dagli sviluppatori del ransomware e l'unico metodo per ottenerla è pagare il riscatto. Tuttavia, non c'è certezza sulla consegna della chiave di decriptazione, poichè nessuna testimonianza finora è stata in grado di affermare la decriptazione dei file a pagamento avvenuto.
Di seguito un esempio di email infetta:

virus.png

COME DIFENDERSI?

Attualmente non è possibile difendersi in modo sicuro in quanto il ransomware è in continuo aggiornamento, il metodo migliore di difesa è prevenire.

Installando un buon antivirus e un antimalware aggiornati sono un passo verso la sicurezza dei vostri dati; importante è inoltre munirsi di un sistema di backup aggiornato su periferiche esterne cosi da poter essere in grado di ripristinare il pc in caso di infezione.

Fondamentale è l'uso consapevole del pc e un'attenta navigazione in rete, affiancati da un'attenta selezione della posta, eliminando quella che si ritiene sospetta.



Studiodichiara.it fa uso di cookies tecnici, anche di terze parti. Navigando acconsenti all'uso dei cookies.