Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Guida al ransomware: cos’è, come si prende e come rimuoverlo

I ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo tutto ciò che bisogna sapere per prevenire e difendersi

15 Mag 2018
R

Rosita Rijtano

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT, www.giorgiosbaraglia.it


I ransomware sono i prìncipi delle minacce informatiche. Un tipo di virus che lo scorso anno è incrementato del 90% rispetto al 2016.

Che cosa sono i ransomware, significato

Con la parola ransomware viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese ransom, per ripristinarli. Tecnicamente sono Trojan horse crittografici ed hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, attraverso la cifratura che, in pratica, rende il pc inutilizzabile. Al posto del classico sfondo vedremo comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta. In cambio di una password in grado di sbloccare tutti i contenuti, intima di versare una somma di denaro abbastanza elevata (comunque quasi sempre sotto i 1.000 euro): in genere la moneta usata è il bitcoin, la valuta elettronica. L’obiettivo dei malintenzionati è, quindi, quello di batter cassa.

Come fare a pagare il riscatto? Dietro all’industria del ransomware non ci sono semplici hacker, ma vere e proprie organizzazioni criminali che hanno raggiunto un alto livello di efficienza ed organizzazione: quindi, dopo averci criptato tutti i file, faranno comparire nel computer attaccato una schermata dove vengono date dettagliate istruzioni (spesso in buon italiano!) per accedere alla rete TOR e pagare il riscatto.

Come si prende un ransomware

Uno dei principali canali di diffusione dei ransomware sono i banner pubblicitari dei siti con contenuti per adulti. Ma vengono usate anche email (in maniera molto simile alle email di phishing) che ci invitano a cliccare su un determinato link o a scaricare un certo file: posta elettronica che viene mascherata in modo che risulti inviata da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro. Inoltre, i cybercriminali non si riservano di sfruttare delle vulnerabilità presenti nei vari programmi – come Java, Adobe Flash e Adobe Acrobat – o nei diversi sistemi operativi. In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:

  1. Il più diffuso, perché purtroppo funziona molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente email di phishing, ma le statistiche ci dicono che nel 30% dei casi questi messaggi vengono aperti dagli utenti ed addirittura in oltre il 10% dei casi vengono cliccati anche gli allegati o i link presenti nelle email, permettendo così l’infiltrazione del malware!
  2. Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti (da parte di hacker che sono riusciti a violare il sito) exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
  3. All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa.
  4. Attacchi attraverso il desktop remoto (RDP: remote desktop protocol, in genere sulla porta 3389): sono attacchi con furto di credenziali (in genere di tipo “brute force”) per accedere ai server e prenderne il controllo. Uno dei più noti è LOKMANN.KEY993.

PC Cyborg: Il primo ransomware della storia

Era il 1989, quando quello che viene considerato il primo ransomware della storia ha fatto il suo debutto. Battezzato “PC Cyborg”, perché i pagamenti erano diretti a una fantomatica “PC Cyborg Corporation”, il malware bloccava il funzionamento del computer giustificandolo attraverso la presunta “scadenza della licenza di un non meglio specificato software”. Si chiedevano 189 dollari per far tornare tutto alla normalità. Era realizzato da Joseph Popp. Fu diffuso a un congresso sull’Aids, mediante floppy disk infetti consegnati ai partecipanti: inserendo il floppy disk il virus si installava e criptava i file.

Questo ransomware ebbe una diffusione estremamente limitata, perché poche persone usavano un personal computer, internet era una rete per soli addetti ai lavori (quindi si trasmetteva via floppy disk), la tecnologia di criptazione era limitata e i pagamenti internazionali erano molto più macchinosi.

Da quel momento in avanti questi virus hanno fatto passi da gigante, diventando sempre più sofisticati: le chiavi crittografiche utilizzate sono sempre più difficile da decifrare, e il messaggio che ci avverte del blocco del pc compare nella lingua del malcapitato, grazie a tecniche equiparabili alla geocalizzazione.

Ransomware: un po’ di storia ed evoluzione dei virus del riscatto

Dopo la parentesi del 1989, l’esplosione dei ransomware comincia nel 2012 e da allora non si è più fermata: per i cybercriminali si è rivelata sempre più redditizia e i nuovi ransomware si sono moltiplicati: nel solo anno 2016 sono state create 62 nuove “famiglie” di ransomware e di queste 47 (pari al 75%) sono state sviluppate da cybercriminali russi.

Vediamo un po’ di storia dei ransomware più famosi:

  • Cryptolocker: 2013
  • CryptoWall: inizio 2014.
  • CTB-Locker: metà 2014. Ha migliaia di varianti.
  • TorrentLocker: febbraio 2014 (Turkcell).
  • Ransom32: fine dicembre 2015.
  • TeslaCrypt: febbraio 2015. A maggio 2016 gli autori hanno rilasciato la chiave Master Key ed hanno chiuso il progetto.
  • Locky: febbraio 2016 (via macro in file Word).
  • CryptXXX: inizio 2016 (attraverso pagine Web compromesse)
  • Petya: marzo 2016.
  • Cerber: marzo 2016.
  • PokemonGo: agosto 2016. Nella richiesta di riscatto si presentava con l’immagine di Pokemon, allora molto di moda.
  • Popcorn: fine 2016 (dilemma: pagare o diffonderlo?).
  • WannaCry (maggio 2017): il più veloce a propagarsi, grazie ad una vulnerabilità di Windows.
  • NotPetya (giugno 2017): probabilmente quello che ha creato i danni maggiori a livello mondiale.
  • Bad Rabbit (ottobre 2017)

Tipi ed esempi di ransomware

CryptoLocker – TorrentLocker

Nel 2017 due ransomware hanno fatto molto parlare di sé. Il primo è CryptoLocker, trojan comparso nel 2013 e perfezionato nel maggio dello scorso anno, che infetta i computer con sistema operativo Windows. Generalmente si diffonde attraverso un allegato di posta elettronica che sembra provenire da istituzioni legittime. Si presenta come un allegato zip che contiene un file eseguibile (anche se sembra un word o un pdf).  Adottando un metodo di camuffamento si presenta tramite un allegato di tipo ZIP, che contiene un file eseguibile.

È famoso al punto che spesso si parla di “Cryptolocker” per definire un ransomware.

Compare a settembre 2013, cripta i file con estensione .encrypted, attraverso un algoritmo “forte” come AES (Advanced Encryption Standard). La richiesta di riscatto è di 300/600 euro (in bitcoin), da pagarsi attraverso la rete Tor su siti .onion (nel Dark web).

Generalmente si diffonde attraverso un allegato di posta elettronica che sembra provenire da istituzioni legittime. Si presenta come un allegato zip che contiene un file eseguibile (anche se sembra un word o un pdf).  Adottando un metodo di camuffamento si presenta tramite un allegato di tipo ZIP, che contiene un file eseguibile.

Il file non è visibile come “.exe” perché l’attaccante sfrutta il fatto che i sistemi Windows non mostrano di default le estensioni dei file e un contenuto così creato viene visualizzato come “.pdf”, nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo. Una volta installato, il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica e salva ogni file cifrato in una chiave di registro.

CryptoWall

Appare nel 2014 in aprile, l’estensione dei file è varia, utilizza l’algoritmo (a doppia chiave o assimmetrico) RSA-2048 e richiede un riscatto di 500/1000 USD (in bitcoin).

CTBLocker (Curve Tor Bitcoin Locker)

È stato uno dei più diffusi a partire da luglio 2014. Utilizza un’estensione causale, ma di 7 caratteri, con crittografia AES e riscatto di 1-2 bitcoin, ovviamente da pagare via rete TOR.

TeslaCrypt

Comparso a febbraio 2014, dalla versione 1.0 è arrivato fino alla versione 4.0. Poi a maggio 2016 gli autori hanno rilasciato la chiave Master Key ed hanno chiuso il progetto. Ma fino al quel momento è stato quello che ha realizzato il maggior fatturato: nei primi 5 mesi del 2016 ha avuto una diffusione del 35% di tutti i ransomware. Utilizzava l’algoritmo AES con richiesta di riscatto pari a 500/1000 USD.

Locky

Febbraio 2016, in genere attraverso macro in file Word.

Utilizzava una doppia crittografia: l’algoritmo (a doppia chiave o assimmetrico) RSA-2048 e quello simmetrico AES-128. Richiedeva un riscatto di 0,5-1 bitcoin.

Petya / NotPetya

Petya / NotPetya è un ransomware del quale si sono poi create versioni: la prima, appunto, è Petya, mentre la seconda è NotPetya. Le vediamo nel dettaglio qui di seguito.

Petya

La prima versione, con schermata rossa risale a marzo 2016. Poi sono seguiti le versioni: Petya.B (schermata verde) a maggio 2016, la Petya.C (ancora verde) a luglio 2016, e la Petya.D “GoldenEye” (schermata gialla) a dicembre 2016.

Oltre a cifrare i file, cifrava (è il primo caso) anche la Master Boot Record (MBR) del disco rendendo impossibile anche l’avvio del computer, con algoritmo Salsa20. Richiesta di riscatto di 0,99 bitcoin.

Prendeva di mira soprattutto gli utenti aziendali poiché veniva distribuito tramite email di spam che fingevano di contenere domande di assunzione.

NotPetya (o EternalPetya)

Esplode in modo violento martedì 27 giugno 2017. Sfrutta, come WannaCry, la vulnerabilità di Windows SMB e l’exploit creato da Nsa (Eternalblue) per propagarsi nelle reti aziendali.

Il riscatto richiesto è di 300 USD, si diffonde soprattutto in Ucraina, ma l’Italia risulta il secondo paese più colpito.

È ritenuto il più distruttivo cyberattacco mai compiuto e sembra provenire dalla Russia. Vengono colpiti tra gli altri: il colosso danese dei trasporti navali, Moller-Maersk, che dichiara danni per 250-300 milioni di dollari, la Merck (settore farmaceutico), che subisce interruzione delle operazioni a livello mondiale, la Reckitt Benckiser che denuncia minori vendite per circa 110 milioni di sterline.

Popcorn

Compare a fine 2016 ed ha una caratteristica che dimostra l’evoluzione del “marketing” dei ransomware. In pratica per riavere i propri file (la richiesta di riscatto è di 1 bitcoin e ci sono 6 giorni per pagare) viene “consigliato” di inviare un link infetto ad altre persone: se almeno due pagheranno, “tu riavrai i tuoi file gratis”. Una vera e propria istigazione a delinquere! I cybercriminali si dichiarano “studenti siriani” e dicono di farlo per acquistare “cibo e medicine”

Wannacry

Un altro attacco che ha occupato le cronache internazionali si chiama WannaCry, ovvero “voglio piangere”. A maggio dello scorso anno il virus ha inchiodato i computer di mezzo mondo, grazie a una falla che si trovava nell’Smb Server di Windows: un “buco” noto e anche già “tappato” dall’azienda di Redmond con una cosiddetta patch, la numero MS17-010. I computer infettati, quindi, non avevano installato l’ultimo aggiornamento

Molti ricercatori del settore hanno considerato WannaCry “un attacco di proporzioni mai viste”. Kaspersky Lab, firma illustre nel mondo della sicurezza informatica, ha registrato più di 45mila attacchi in 74 nazioni, incluse Russia, Cina, Italia, India, Egitto e Ucraina. Ma c’è chi alza le stime a 99 Paesi mentre Europol, agenzia dell’Unione europea impegnata nel contrasto alla criminalità, ha parlato di “un attacco senza precedenti che richiede indagini internazionali”. Uno dei più colpiti, in termini di conseguenze, è stato il Regno Unito dove il “colpo” informatico ha mandato in tilt diversi ospedali.

Bad Rabbit

Martedì 24 ottobre 2017. Il principale vettore di infezione sono i siti compromessi (con un finto Adobe Flash Player). Cifra i file ed il disco fisso.

Come proteggersi dai ransomware: tre punti chiave

  • La miglior protezione è la prevenzione. Il primo passo da fare è aggiornare sempre sia il nostro antivirus che il sistema operativo.
  • Utile è anche un backup dei dati, cioè una copia dei propri file. Un’operazione che va eseguita periodicamente in un hard disk esterno, ad esempio una chiavetta Usb. In questo modo, se il ransomware dovesse infettare il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza.
  • Se si viene attaccati, invece, le buone pratiche dicono che non bisogna mai pagare il riscatto. Ma rivolgersi a un’azienda che si occupa di sicurezza informatica. Ecco un approfondimento però sulle valutazioni da fare se pagare o no in caso di attacco ransowmare.

Protezione da ransomware: la prevenzione

Nonostante la virulenza e la diffusione dei ransomware, ci sono semplici regole pratiche che ci possono aiutare ad evitarli. Le elencheremo qui in sintesi:

  • Non aprire mai gli allegati di email di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella email è autentica!
  • Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come “spoofing”).
  • Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr, ecc. Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file.
  • Disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza. Questa modalità di attacco si chiama “Baiting”: consiste nell’utilizzare un’esca per una persona in grado di accedere ad un determinato sistema informatico (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, bagno pubblico) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer…
  • Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office ed attivarsi automaticamente a seguito di un nostro clic.
  • Aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare sempre e subito le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati.
  • Utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni. Viceversa, un utente non-amministratore ha privilegi limitati e le stesse limitazioni si trasferiranno in mano all’attaccante
  • Installare servizi Antispam efficaci ed evoluti. Non riusciranno a bloccare tutte le email di phishing, ma i migliori riescono a raggiungere un’efficienza comunque superiore al 95%.
  • Implementare soluzioni di tipo “User Behavior Analytics” (UBA) sulla rete aziendale (analisi anomalie traffico web). Questi strumenti rappresentano oggi la protezione più avanzata contro i ransomware. È noto infatti che questi malware presentano una serie di comportamenti tipici (accesso/scrittura a cartelle di sistema, collegamento a server esterni per il download dei file di criptazione, ecc.). Gli UBA analizzano perciò il comportamento di ciascun computer dell’azienda e sono in grado di capire se si stanno verificando eventi “anomali” (quali per esempio un traffico dati superiore alla media, l’accesso ad indirizzi IP classificati come malevoli, l’accesso e la scrittura in cartelle di sistema che non dovrebbero essere utilizzate). Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (quantomeno circoscrivere) l’attacco.
  • Implementare l’uso di Sandboxing: questi strumenti sono in genere presenti nei sistemi  UBA (di cui al punto precedente) e consentono di analizzare in un ambiente isolato (appunto la “sandbox”) i file sospetti in entrata.
  • Assicurarsi che i plugin che si utilizzano (Java, Adobe Flash Player, ecc.) siano sempre aggiornati. Questi plugin – è noto – rappresentano una via d’ingresso preferenziale per la maggior parte dei cyber attacchi. Averli sempre aggiornati riduce le vulnerabilità di cui sono affetti (anche se non le elimina completamente).
  • Fare sempre attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri. Come ho già spiegato, i ransomware ci possono colpire non solo attraverso il phishing, ma anche visitando siti che sia stati “infettati”, con la modalità definita “drive-by download”.
  • Backup frequente dei propri dati. Questa è una regola fondamentale: se nonostante tutto un ransomware riesce a colpirci, l’unica salvezza è aver i propri dati salvati in un altro luogo. Ed è importante che il backup venga eseguito spesso ed in modo completo. In assenza di un backup rimane solo l’opzione di pagare il riscatto

Cosa fare se siamo stati colpiti da un ransomware

In questa malaugurata ipotesi (ma potrebbe sempre accadere), le opzioni sono sostanzialmente quattro:

  1. Ripristinare i file da un backup (la soluzione migliore, l’unica che dovrebbe prendere in considerazione un’azienda ben organizzata).
  2. Cercare un “decryptor” in rete per decriptare i file (funziona solo in alcuni casi).
  3. Non fare nulla e perdere i propri dati.
  4. Pagare il Riscatto (“Ransom”).

Vediamole più in dettaglio:

1) Ripristinare i file da un backup

È la soluzione migliore, l’unica che dovrebbe essere presa in considerazione se abbiamo operato con attenzione e ci siamo organizzati con una corretta gestione di salvataggio periodico dei nostri dati. Ovviamente per fare un ripristino è necessario avere una copia di backup che sia disponibile, recente e funzionante.

Anche nello scenario peggiore di mancanza di un backup, conviene fare un’indagine approfondita che ci potrebbe far recuperare copie dei file più importanti. Potremmo recuperarli dal cloud (Dropbox ed altri cloud ci possono aiutare, perché prevedono il “versionamento” dei file, quindi si può recuperare una versione precedente, non cancellata dal ransomware.

Se siamo in possesso di un backup utilizzabile, occorre però procedere ad una bonifica della macchina (o delle macchine) infettate, prima del ripristino dei dati. La bonifica può essere fatta con più scansioni antivirus per assicurarsi che il software dannoso sia stato rimosso, ma per essere certi al 100% che non ci siano più tracce di qualsiasi tipo di malware, è consigliabile procedere ad una formattazione completa della macchina attaccata. Solo a questo punto si può procedere al ripristino dei dati da backup.

2) Cercare un “decryptor” in rete per decriptare i file

La grande proliferazione delle varietà di ransomware nel corso di questi ultimi 2-3 anni ha fatto sì che i maggiori vendor di sicurezza mondiali abbiamo cercato di trovare gli “antidoti” a questi malware. Ed in alcuni casi ci sono anche riusciti: per alcune versioni di ransomware meno recenti sono stati creati (e resi disponibili in rete) programmi e tool in grado di recuperare i file crittografati. Si tratta comunque di procedure non elementari e spesso complesse, che raramente hanno successo con i ransomware più recenti e meglio realizzati. Dopo tutto, anche gli hacker leggono gli stessi blog e forum di sicurezza e aggiornano i loro prodotti per renderli inattaccabili ai decrypter. Per esempio: le prime versioni di Petya avevano punti deboli nella chiave di cifratura e questo permetteva di ricavare la chiave crittografica. Nelle versioni successive gli hacker hanno chiuso questa falla. Anche il ransomware TeslaCrypt (uno dei più diffusi) aveva delle debolezze che permettevano di recuperare la chiave privata con alcuni tools appositi (TeslaDecoder, TeslaCrack, ecc.). Dalla versione 3.0 di TeslaCrypt questo difetto è stato eliminato e la crittografia AES 256 bit ha reso impossibile qualsiasi recupero della chiave di decriptazione.

Quindi questa opzione ha basse probabilità di successo (praticamente nessuna se la cifratura è stata fatta con algoritmi di crittografia forte come AES 256, Salsa20 o altri), ma può valere comunque la pena di tentare una ricerca in rete.

Segnalo a questo scopo l’utilissimo sito “No More Ransom!” https://www.nomoreransom.org/it/index.html .

È stato creato nel 2016 dal National High Tech Crime Unit della polizia olandese, dall’ European Cybercrime Centre dell’Europol, e da due aziende di sicurezza informatica, Kaspersky Lab e McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati, senza dover pagare i criminali.

Facendo una ricerca nel sito, o caricandovi un nostro file criptato, potremo trovare (se esiste!) il decryptor per decifrare – gratuitamente – i file.

3) Non fare nulla e perdere i propri dati

Non è una scelta entusiasmante e quasi mai la si può fare, soprattutto per un’azienda. A meno che i dati criptati non siano veramente di scarsa importanza. Anche se dovessimo optare per questa soluzione, consiglio comunque di:

  • Togliere dalla macchina il disco con i file compromessi e metterlo da parte: potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file, che potrebbero essere recuperati. Potrebbero passare mesi, ma potrebbe accadere…
  • Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina.

4) Pagare il Riscatto

È ovviamente la soluzione peggiore, quella alla quale non si dovrebbe mai arrivare: se paghiamo alimentiamo la criminalità e la rendiamo ancora più ricca e forte.

Ma anche pagando non si ha nessuna garanzia di riavere i propri dati: ricordiamoci sempre che dall’altra parte ci sono dei criminali. Come ho detto precedentemente, anche pagando esiste un 20% di probabilità che non ci venga data la chiave di decriptazione.

Se comunque si decide di pagare il riscatto, i passi da fare sono in genere questi (con piccole varianti a seconda del tipo di malware che ci ha colpito):

  • Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto: serve per capire qual è l’importo richiesto (quasi sempre in Bitcoin, una criptovaluta non tracciabile) e – soprattutto – quanto tempo abbiamo per pagare prima che i nostri file siano persi definitivamente (in genere i cybercriminali fissano una scadenza di circa 72 ore, comunque mai molto lunga).
  • Acquistare i Bitcoin per il pagamento: individuare un sito che faccia “exchange” di questa valuta. Ce ne sono molti e sono pubblici (cioè non illegali).
  • Aprire un account presso il sito prescelto: si tratta in pratica di un conto elettronico (wallet) dove saranno depositati i Bitcoin acquistati.
  • Poiché il pagamento viene richiesto attraverso la rete TOR (una “darknet” che garantisce la navigazione completamente anonima) occorre installare un browser TOR: lo si può scaricare direttamente dal sito: http://www.torproject.org. Si usa in modo del tutto simile ad un browser normale (è derivato da Firefox).
  • Con TOR bisogna accedere al sito indicato dagli hacker nella richiesta di riscatto: i siti della rete TOR non sono indicizzati in Google e sono raggiungibili solo se si conosce l’esatto indirizzo, che è molto complesso. Questo è un esempio di indirizzo TOR: 7yulv7filqlrycpqrkrl.onion.
  • Pagare il riscatto: questo significa trasferire i BTC dal proprio Bitcoin wallet a quello degli hacker. Per raggiungerlo in genere è sufficiente seguire le istruzioni poste sul sito. Il wallet su cui eseguire il pagamento è identificato da un “wallet ID”, costituito da una lunga serie di numeri e lettere come questo: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd. Questo codice traccia il pagamento in forma solo numerica, quindi rende quasi impossibile risalire al nome dell’intestatario del wallet.
  • Dopo aver trasferito i BTC sul conto degli hacker, riceveremo un altro codice (ancora una lunga serie di numeri e lettere) che rappresenta la conferma della transazione.
  • Ora aspettiamo e speriamo: entro qualche ora (il tempo necessario perché la transazione sia stata processata dai sistemi) dovremmo ricevere un file con la chiave privata di decriptazione, oppure un file eseguibile che procederà a decriptare i file. Affinché la decodifica dei file sia completa, occorre che manteniamo collegati tutti i dispositivi e dischi che erano connessi al momento dell’infezione (altrimenti qualche file potrebbe non venire decriptato)

Per approfondimenti su uno degli autori di questo articolo consulta il sito giorgiosbaraglia.it

Articolo 1 di 5