CRYPTO RANSOMWARE

 Home / Soluzioni / Sicurezza e auditing / CRYPTO RANSOMWARE

Crypto Ransomware

 

Cosa sono e come difendersi efficacemente

Massimo ChiericiRedatto da Massimo Chierici Seconda edizione
Febbraio 2017 SSIWP_CPT_1511 - Ver. 002

 

Disclaimer:
Tutte le informazioni riportate nel presente documento sono aggiornate alla data di pubblicazione dello stesso.

 

 


Sommario:

Disclaimer
Cosa sono i Crypto Ransomware
Sistemi affetti
Vettori di infezione e propagazione
Come avviene l’infezione e quali sono i suoi effetti
Trend di crescita
Come difendersi dai Ransomware

L’approccio classico
L’approccio moderno di SSI

Volete approfondire? Contattateci!

 

Pagina 1 di 3

 

Cosa sono i Crypto Ransomware

Un Crypto Ransomware è un malware che potrebbe bloccare l’utilizzo del sistema di un utente, rendendolo di fatto inutilizzabile, e che sicuramente crittografa alcune tipologie di file presenti sia sul disco locale del sistema compromesso che in eventuali dispositivi di archiviazione collegati (per esempio penne USB, Hard disk esterni ecc.). Nel caso il sistema sia collegato in rete ed abbia accesso alle cosiddette “cartelle di rete”, le Share SMB (siano esse mappate sul pc o meno), e se l’utente ha accesso in modifica ai dati contenuti in tali cartelle, il malware provvederà anche a crittografare i dati contenuti in tali cartelle condivise.

Spesso poi questi malware cercano di impedire di poter recuperare i propri file da backup o dal “shadow copy”, procedendo alla cancellazione delle shadow copy e, se trovati, alla cancellazione anche dei file dei backup dei più comuni programmi di backup.

L’algoritmo di cifratura con cui questi programmi criptano i dati è tipicamente molto forte, solitamente a 2048 bit, il che rende praticamente impossibile adottare un approccio “brute force” per trovare la chiave di decrittazione senza pagare il riscatto.

L’utente pertanto, per poter decrittare i suoi file, dovrà pagare un vero e proprio riscatto (da qui il termine ransomware, da ransom=riscatto), in modo da ottenere la chiave di decrittazione e poter utilizzare nuovamente i suoi file. Il pagamento solitamente viene richiesto mediante BitCoin, una cripto-moneta completamente irrintracciabile ed anonima, da fare seguendo le istruzioni che normalmente questi malware lasciano disseminate nelle cartelle che hanno crittografato.

Il pagamento del “riscatto” però non fornisce nessuna garanzia del fatto che l’hacker invierà la chiave di decrittazione, tantomeno che anche con la chiave eventualmente fornita sia possibile decrittare e recuperare tutti i dati.

Pertanto è sempre buona norma non pagare riscatti, sia perché appunto non vi è certezza del rilascio della chiave di decrittazione, e sia per evitare di alimentare una pratica di veri e propri sequestri, oggi non più relativa a persone ma ai dati delle persone o delle aziende. Sistemi affetti Microsoft Windows XP, Vista, 7, 8, 8.1, 10 Microsoft Windows Server 2003, 2008, 2008R2, 2012, 2012R2, 2016

 

Sistemi affetti:

Microsoft Windows XP, Vista, 7, 8, 8.1, 10
Microsoft Windows Server 2003, 2008, 2008R2, 2012, 2012R2, 2016

 

Pagina 1 di 3    
  Sommario Avanti > 

 

 

News da Twitter:

RT @Carbonite: Don't worry about data loss ruining you. With Carbonite by your side, you won't have to. https://t.co/KAJvfn3rH9
Venerdì, 09 Novembre 2018 12:44
RT @Carbonite: Carbonite Server VM Edition is here, and it's purpose-built for virtual environments. Protection is configured onsite and in…
Venerdì, 02 Novembre 2018 17:32

About SSI

S.S.I. Sviluppo Sistemi Informativi s.r.l. è leader in Italia nei progetti di Business Continuity, Alta Disponibilità, Disaster Recovery e Sicurezza.

S.S.I. srl è socio di Assintel
Continuando la navigazione, si accetta l'uso dei cookies che ci consente di fornire un servizio ottimale e contenuti personalizzati.