Ransomware

Il ransomware (noto anche con il nome di “filecoder”) è un tipo di malware che blocca un dispositivo o esegue la crittografia dei relativi contenuti estorcendo denaro all’utente per ripristinarne l’accesso. Questo tipo di malware può anche essere dotato di un timer integrato con un termine di pagamento preventivamente programmato e tassativo. Qualora il pagamento non venga eseguito nei termini stabiliti, il prezzo aumenta o il dispositivo diventa completamente inaccessibile.

Se il dispositivo è infetto, il filecoder potrebbe tentare di eseguire la crittografia delle unità condivise disponibili. Questo processo potrebbe far pensare a una diffusione del malware all’interno della rete, ma in realtà non è così. Tale situazione si verifica nel caso in cui l’unità condivisa su un file server sia crittografata, ma il server non contiene di per sé un’infezione da malware (a meno che non si tratti di un server terminal).

Gli autori di ransomware generano due chiavi, una pubblica e una privata, e inseriscono quella pubblica nel malware. Il ransomware stesso potrebbe far parte di un Trojan o assumere le sembianze di un file o di un’immagine che l’utente potrebbe ricevere come allegato di un’e-mail, sui social network o sui sistemi di messaggistica istantanea. In seguito all’infiltrazione in un computer, il malware genera una chiave simmetrica casuale ed esegue la crittografia dei dati sul dispositivo. Utilizza la chiave pubblica nel malware per eseguire la crittografia della chiave simmetrica. Il ransomware richiede quindi un pagamento per eseguire la decrittografia dei dati. Il messaggio di richiesta del pagamento visualizzato sul dispositivo potrebbe essere un avviso falso in cui si comunica all’utente che il sistema è stato utilizzato per attività illegali o che sono presenti contenuti illegali. Alla vittima di un attacco ransomware viene richiesto di effettuare un pagamento in base a diverse modalità. Le opzioni “preferite” sono solitamente quelle difficili da tracciare, tra cui valute digitali (criptovalute), SMS a tariffa maggiorata o voucher prepagati. Dopo aver ricevuto il pagamento, l’autore del ransomware dovrebbe sbloccare il dispositivo o utilizzare la chiave privata per eseguire la decrittografia della chiave simmetrica e, di conseguenza, dei dati della vittima. Tuttavia, questa operazione non è garantita.