I “ransomware” sono programmi che impediscono l’accesso ai documenti personali finché non viene pagato un “riscatto”.
In passato venivano utilizzati per danneggiare o cancellare documenti; oggi questi programmi si impossessano dei dati e li tengono “in ostaggio”. Ad esempio, il Trojan Archiveus copia il contenuto della cartella “Documenti” all’interno di un file protetto da password e, in seguito, cancella l’originale. L’utente riceve un messaggio nel quale viene specificato che è necessario digitare una password di 30 caratteri per accedere alla cartella e che tale password gli verrà comunicata solo dopo aver effettuato un acquisto da un negozio online.
In questo caso, come nella maggior parte dei “ransomware”, la password è nascosta all’interno del codice del Trojan e può essere rilevata dagli analisti di malware. Tuttavia ultimamente gli hacker hanno iniziato ad utilizzare una crittografia asimmetrica o a chiave pubblica che sfrutta codici diversi per codificare e decodificare, in questo modo la password non viene salvata sul computer dell’utente e quindi il recupero dei dati cifrati diventa impossibile e i danni sono irreversibili.
Nel corso dell’ultimo anno abbiamo assistito a una recrudescenza del ransomware. Vi sono stati esempi di falsi avvertimenti degli organi di polizia, accompagnati da sanzioni economiche (pagabile attraverso internet) e presa in ostaggio dei dati fino ad avvenuto pagamento.
Per esempio Reveton, noto anche come Citadel o Troj/Ransom, nasconde il desktop Windows, impedisce l’accesso a qualsiasi programma e visualizza a schermo intero il logo dell’FBI (o di altri tipi di forze dell’ordine). Compare un messaggio urgente che sostiene di aver rilevato la presenza di materiale protetto da copyright scaricato dall’utente; viene quindi sollecitato il pagamento di una multa (che di solito si aggira intorno ai $200) per ripristinare l’accesso.
Una ricerca dei SophosLabs mostra che, tra i distributori di malware che utilizzano i kit di exploit Blackhole, il ransomware è secondo, quanto a popolarità, solo a Zeus/Zbot. Si posiziona inoltre molto prima dei falsi antivirus.
Anand Ajjan, un ricercatore senior dei SophosLabs, ha approfondito l’argomento del ransomware in un technical paper. Quest’ultimo fornisce un’interessante storia generale nonché qualche dettaglio tecnico per i più esperti.
Anand ha scavato a fondo nelle tattiche utilizzate dal ransomware e ha studiato la sua evoluzione, esaminandone i miglioramenti tecnologici e di social engineering.
Scaricate subito e leggete il technical Paper: “Ransomware: Next-Generation Fake Antivirus”.