domenica 29 dicembre 2019

RISCATTO IN BITCOIN COME FARE PER ELIMINARE I RAMSOMWARE



I ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.

Che cosa sono i ransomware, 
Con la parola ransomware viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese ransom, per ripristinarli. Tecnicamente sono Trojan horse crittografici ed hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, attraverso la cifratura che, in pratica, rende il pc inutilizzabile. Al posto del classico sfondo vedremo comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta. In cambio di una password in grado di sbloccare tutti i contenuti, intima di versare una somma di denaro abbastanza elevata (comunque quasi sempre sotto i 1.000 euro): in genere la moneta usata è il bitcoin, la valuta elettronica. L’obiettivo dei malintenzionati è, quindi, quello di batter cassa.


 Dietro all’industria del ransomware non ci sono semplici hacker, ma vere e proprie organizzazioni criminali che hanno raggiunto un alto livello di efficienza ed organizzazione: quindi, dopo averci criptato tutti i file, faranno comparire nel computer attaccato una schermata dove vengono date dettagliate istruzioni (spesso in buon italiano!) per accedere alla rete TOR e pagare il riscatto.

Come si prende un ransomware

Uno dei principali canali di diffusione dei ransomware sono i

  BANNER PUBBLICITARI dei siti con contenuti per adulti.

 EMAIL(in maniera molto simile alle email di phishing) che ci invitano a cliccare su un determinato link o a scaricare un certo file:

 POSTA ELETTRONICA che viene mascherata in modo che risulti inviata da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro.
VULNERABILITÀ presenti nei vari programmi – come Java, Adobe Flash e Adobe Acrobat – o nei diversi sistemi operativi. In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

 I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:
  1. Email DI phishing:  attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. le statistiche ci dicono che nel 30% dei casi questi messaggi vengono aperti dagli utenti ed addirittura in oltre il 10% dei casi vengono cliccati anche gli allegati o i link presenti nelle email, permettendo così l’infiltrazione del malware!
  2.  Navigazione su siti compromessi:  il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti (da parte di hacker che sono riusciti a violare il sito) exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
  3. All’interno  di altri software che vengono scaricati:  per esempio programmi gratuiti che ci promettono di “crackare” software costosi per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa.
  4. Attacchi attraverso il desktop remoto (RDP: remote desktop protocol, in genere sulla porta 3389): sono attacchi con furto di credenziali (in genere di tipo “brute force”) per accedere ai server e prenderne il controllo. Uno dei più noti è LOKMANN.KEY993.

PC Cyborg: Il primo ransomware della storia

Era il 1989, quando quello che viene considerato il primo ransomware della storia ha fatto il suo debutto. Battezzato “PC Cyborg”, perché i pagamenti erano diretti a una fantomatica “PC Cyborg Corporation”, il malware bloccava il funzionamento del computer giustificandolo attraverso la presunta “scadenza della licenza di un non meglio specificato software”. Si chiedevano 189 dollari per far tornare tutto alla normalità. Era realizzato da Joseph Popp. Fu diffuso a un congresso sull’Aids, mediante floppy disk infetti consegnati ai partecipanti: inserendo il floppy disk il virus si installava e criptava i file.
Questo ransomware ebbe una diffusione estremamente limitata, perché poche persone usavano un personal computer, internet era una rete per soli addetti ai lavori (quindi si trasmetteva via floppy disk), la tecnologia di criptazione era limitata e i pagamenti internazionali erano molto più macchinosi.
Da quel momento in avanti questi virus hanno fatto passi da gigante, diventando sempre più sofisticati: le chiavi crittografiche utilizzate sono sempre più difficile da decifrare, e il messaggio che ci avverte del blocco del pc compare nella lingua del malcapitato, grazie a tecniche equiparabili alla geocalizzazione.

Come proteggersi dai ransomware:

  • La miglior protezione è la prevenzione. Il primo passo da fare è aggiornare sempre sia il nostro antivirus che il sistema operativo.
  •  
  • Utile è anche un backup dei dati, cioè una copia dei propri file. Un’operazione che va eseguita periodicamente in un hard disk esterno, ad esempio una chiavetta Usb. In questo modo, se il ransomware dovesse infettare il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza.

  • Se si viene attaccati, invece, le buone pratiche dicono che non bisogna mai pagare il riscatto. Ma rivolgersi a un’azienda che si occupa di sicurezza informatica. Ecco un approfondimento però sulle valutazioni da fare se pagare o no in caso di attacco ransowmare.

Cosa fare se siamo stati colpiti da un ransomware

In questa malaugurata ipotesi (ma potrebbe sempre accadere), le opzioni sono sostanzialmente quattro:
  1. Ripristinare i file da un backup (la soluzione migliore, l’unica che dovrebbe prendere in considerazione un’azienda ben organizzata).
  2. Cercare un “decryptor” in rete per decriptare i file (funziona solo in alcuni casi).
  3. Non fare nulla e perdere i propri dati.
  4. Pagare il Riscatto (“Ransom”).
Vediamole più in dettaglio:

1) Ripristinare i file da un backup

È la soluzione migliore, l’unica che dovrebbe essere presa in considerazione se abbiamo operato con attenzione e ci siamo organizzati con una corretta gestione di salvataggio periodico dei nostri dati. Ovviamente per fare un ripristino è necessario avere una copia di backup che sia disponibile, recente e funzionante.
Anche nello scenario peggiore di mancanza di un backup, conviene fare un’indagine approfondita che ci potrebbe far recuperare copie dei file più importanti. Potremmo recuperarli dal cloud (Dropbox ed altri cloud ci possono aiutare, perché prevedono il “versionamento” dei file, quindi si può recuperare una versione precedente, non cancellata dal ransomware.
Se siamo in possesso di un backup utilizzabile, occorre però procedere ad una bonifica della macchina (o delle macchine) infettate, prima del ripristino dei dati. La bonifica può essere fatta con più scansioni antivirus per assicurarsi che il software dannoso sia stato rimosso, ma per essere certi al 100% che non ci siano più tracce di qualsiasi tipo di malware, è consigliabile procedere ad una formattazione completa della macchina attaccata. Solo a questo punto si può procedere al ripristino dei dati da backup.

2) Cercare un “decryptor” in rete per decriptare i file

La grande proliferazione delle varietà di ransomware nel corso di questi ultimi 2-3 anni ha fatto sì che i maggiori vendor di sicurezza mondiali abbiamo cercato di trovare gli “antidoti” a questi malware. Ed in alcuni casi ci sono anche riusciti: per alcune versioni di ransomware meno recenti sono stati creati (e resi disponibili in rete) programmi e tool in grado di recuperare i file crittografati. Si tratta comunque di procedure non elementari e spesso complesse, che raramente hanno successo con i ransomware più recenti e meglio realizzati. Dopo tutto, anche gli hacker leggono gli stessi blog e forum di sicurezza e aggiornano i loro prodotti per renderli inattaccabili ai decrypter. Per esempio: le prime versioni di Petya avevano punti deboli nella chiave di cifratura e questo permetteva di ricavare la chiave crittografica. Nelle versioni successive gli hacker hanno chiuso questa falla. Anche il ransomware TeslaCrypt (uno dei più diffusi) aveva delle debolezze che permettevano di recuperare la chiave privata con alcuni tools appositi (TeslaDecoder, TeslaCrack, ecc.). Dalla versione 3.0 di TeslaCrypt questo difetto è stato eliminato e la crittografia AES 256 bit ha reso impossibile qualsiasi recupero della chiave di decriptazione.
Quindi questa opzione ha basse probabilità di successo (praticamente nessuna se la cifratura è stata fatta con algoritmi di crittografia forte come AES 256, Salsa20 o altri), ma può valere comunque la pena di tentare una ricerca in rete.
Segnalo a questo scopo l’utilissimo sito “No More Ransom!” https://www.nomoreransom.org/it/index.html .
È stato creato nel 2016 dal National High Tech Crime Unit della polizia olandese, dall’ European Cybercrime Centre dell’Europol, e da due aziende di sicurezza informatica, Kaspersky Lab e McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati, senza dover pagare i criminali.
Facendo una ricerca nel sito, o caricandovi un nostro file criptato, potremo trovare (se esiste!) il decryptor per decifrare – gratuitamente – i file.

3) Non fare nulla e perdere i propri dati

Non è una scelta entusiasmante e quasi mai la si può fare, soprattutto per un’azienda. A meno che i dati criptati non siano veramente di scarsa importanza. Anche se dovessimo optare per questa soluzione, consiglio comunque di:
  • Togliere dalla macchina il disco con i file compromessi e metterlo da parte: potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file, che potrebbero essere recuperati. Potrebbero passare mesi, ma potrebbe accadere…
  • Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina.

4) Pagare il Riscatto

È ovviamente la soluzione peggiore, quella alla quale non si dovrebbe mai arrivare: se paghiamo alimentiamo la criminalità e la rendiamo ancora più ricca e forte.
Ma anche pagando non si ha nessuna garanzia di riavere i propri dati: ricordiamoci sempre che dall’altra parte ci sono dei criminali. Come ho detto precedentemente, anche pagando esiste un 20% di probabilità che non ci venga data la chiave di decriptazione.
Se comunque si decide di pagare il riscatto, i passi da fare sono in genere questi (con piccole varianti a seconda del tipo di malware che ci ha colpito):
  • Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto: serve per capire qual è l’importo richiesto (quasi sempre in Bitcoin, una criptovaluta non tracciabile) e – soprattutto – quanto tempo abbiamo per pagare prima che i nostri file siano persi definitivamente (in genere i cybercriminali fissano una scadenza di circa 72 ore, comunque mai molto lunga).
  • Acquistare i Bitcoin per il pagamento: individuare un sito che faccia “exchange” di questa valuta. Ce ne sono molti e sono pubblici che operano in piena legalità .
  • PROBLEMA se non sei un normale utilizzatore di BITCOIN o altre monete elettroniche ALTCOIN, aprire un account su un normale EXCHANCE  di cambio  e renderlo operativo occorrono a causa delle procedure di autentificazione dai tre ai venti  giorni a seconda dell'EXCHANCE utilizzato.
  • Lo stesso problema ovvero quello delle autentificazioni della propria identità sussiste se si vogliono utilizzare sistemi diversi da quello degli EXCHANGE, come ad esempio aprire un WALLET per contenere e trasferire  le monete elettroniche o aprire una CARTA DI CREDITO che cambia in automatico gli EUR in BITCOIN.

   CONVIENE QUINDI RIVOLGERSI AD UNA SOCIETÀ DI CONSULENZA CHE SI
    
                           OCCUPERÀ DELLA RISOLUZIONE DEL PROBLEMA 
                                          contedistgermaine@yahoo.com
  • Una volta ottenuti i BITCOIN  occorre  trasferire i BTC dal proprio Bitcoin wallet a quello degli hacker. Per raggiungerlo in genere è sufficiente seguire le istruzioni poste sul sito. Il wallet su cui eseguire il pagamento è identificato da un “wallet ID”, costituito da una lunga serie di numeri e lettere come questo: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd. Questo codice traccia il pagamento in forma solo numerica, quindi rende quasi impossibile risalire al nome dell’intestatario del wallet.
  •  ATTENZIONE: L'0perazione di trasferimento dei bitcoin dal nostro wallet a quello degli acker segue la  tempistica della rete BLOCKCHAIN. La transazione non ha una durata standard. I BTC possono arrivare al destinatario dopo un'ora o dopo  tre giorni sforando i tempi imposti dall' hacher che nel frattempo avrà aumentato la posta.
  • Dopo aver trasferito i BTC sul conto degli hacker, riceveremo un altro codice (ancora una lunga serie di numerii e lettere) che rappresenta la conferma della transazione.
  • Ora aspettiamo e speriamo: entro qualche ora (il tempo necessario perché la transazione sia stata processata dai sistemi) dovremmo ricevere un file con la chiave privata di decriptazione, oppure un file eseguibile che procederà a decriptare i file. Affinché la decodifica dei file sia completa, occorre che manteniamo collegati tutti i dispositivi e dischi che erano connessi al momento dell’infezione (altrimenti qualche file potrebbe non venire decriptato)

  •   ALCUNI DATI AGGIUNTIVI
     
    La situazione che emerge non è rassicurante e palesa un livello di vulnerabilità estremamente elevato. Non rallegra certo la cifra del 72,4 per cento degli apparati informatici che – colpiti da ransomware – sono stati riportati in condizioni di ordinaria funzionalità. Il comunque vasto esercito di sopravvissuti non deve il ripristino alla semplice buona sorte oppure al costoso ma banale pagamento della somma estorta dai malfattori andati a segno.
    Questa larga fetta di “fortunati” (ma preferirei etichettarli come “previdenti”) deve il recupero dei dati non al pagamento del riscatto, ma al ricorso alle copie di sicurezza (il comune “back-up”) fatte con regolarità e frequenza serrata e conservate con idonee cautele che le hanno preservate da catastrofici contagi da parte del perfido ransomware (sempre pronto ad aggredire anche tutte le unità di memorizzazione esterne).
    Lo studio sottolinea che l’89,9 per cento di chi si è ritrovato con archivi e documenti indebitamente crittografati ha rifiutato di pagare la somma in bitcoin richiesta per ottenere la chiave di cifratura necessaria per sbloccare le informazioni rese inutilizzabili. Quelli che hanno ceduto al ricatto non sempre hanno recuperato quel che serviva loro: solo il 49,4 per cento è riuscito a “restaurare” le proprie dotazioni informatiche e a riportarle alle condizioni precedenti la micidiale infezione. 
     Il 50,6% si è inutilmente dannato a reperire il denaro virtuale e a procedere all’accredito preteso senza ottenere la soluzione al drammatico problema.
  •  
  •  
  •  
  •  
  • https://it.cointelegraph.com/news/hackers-stole-and-encrypted-data-of-5-us-law-firms-demand-2-crypto-ransoms 
alle Nessun commento:
Iscriviti a: Post (Atom)

AMPLIVO COME RISCATTARE I CODICI REGALO

I codici regalo in AMPLIVO rappresentano la chiave di accesso per l'acquisto di dei CSR plastic credit e per l'eventuale attivazione...

  • MOON CASH FAUCET DI COIN POT
      Moon Cash                          come funziona?    Moon Cash dovrebbe essere l’ultimo faucet proposto da  CoinPot  per pote...
  • CRYPTO A QUANDO LE NUOVE REGOLE
    LE REGOLE DELLA CRYPTO    Le criptovalute adottano un approccio interessante alle regole.   Le regole sono incorporate nel software ch...