Come capire se sei stato colpito da un falso ransomware

A differenza della maggior parte dei malware, il ransomware non è furtivo. È rumoroso e odioso e, se sei stato infettato, gli aggressori te lo diranno senza mezzi termini. Dopo tutto, vogliono essere pagati.

"I tuoi file personali sono crittografati", risuona il messaggio sul computer. "Le foto dei documenti, i database e altri file importanti sono stati crittografati con la crittografia più potente e la chiave univoca, generata per questo computer." Sebbene la lingua possa variare, l'essenza è la stessa: se non paghi il riscatto, in genere entro 48-72 ore, i tuoi file vengono cancellati.

Oppure lo sono? C'è una minima possibilità che gli autori stiano cercando di fingere di te e che i file non siano stati crittografati. Sebbene non sia uno scenario comune, secondo gli esperti del settore accade. Invece di pagare, puoi aggirare il messaggio falso spaventoso e andare avanti con la tua giornata.

"Ci sono una serie di esempi in cui la vera crittografia non si verifica. Al contrario, i criminali informatici si affidano al lato dell'ingegneria sociale dell'attacco per convincere le persone a pagare ", avverte Grayson Milbourne, direttore dell'intelligence per la sicurezza di Webroot.

È vero o falso?

Bastano pochi secondi per confermare se si tratta di una vera infezione o di una truffa di ingegneria sociale.

Se la richiesta di riscatto include il nome del ransomware, allora non c'è mistero e sei nei guai. Le famiglie di ransomware che si identificano includono Linux.Encoder, il primo ransomware basato su Linux, che dice chiaramente "Encrypted by Linux.Encoder". CoinVault si identifica elencando l'indirizzo e-mail dell'assistenza. TeslaCrypt e CTB-Locker sono anche tra le famose famiglie di ransomware che ti dicono chi tiene in ostaggio i tuoi file.

Ma ci sono un sacco di giochi di riscatto che non si preoccupano dei nomi. Ad esempio, CryptoLocker ha semplicemente avvertito che i tuoi file sono stati crittografati e non ha mai ostentato il suo nome. Invece, dovrai cercare altri indizi: c'è un indirizzo email di supporto? Cerca in Internet l'indirizzo di pagamento bitcoin o il messaggio di riscatto effettivo e guarda cosa viene fuori sui forum o dai ricercatori di sicurezza.  

Se non riesci a identificare il ransomware, è possibile che sia falso. In questi casi, i tuoi file non sono effettivamente crittografati; l'attaccante mostra semplicemente un messaggio spaventoso e blocca lo schermo. La richiesta di riscatto in genere viene visualizzata all'interno di una finestra del browser e non consente all'utente di uscire, oppure blocca lo schermo e visualizza una finestra di dialogo che richiede una chiave di crittografia. Poiché la vittima non può chiudere il messaggio, sembra reale.

Se è possibile chiudere lo schermo utilizzando i comandi da tastiera, come Alt-F4 su Windows e Comando-W su Mac OS X, la richiesta di riscatto è falsa. Oppure prova a forzare il riavvio del dispositivo e verifica se il messaggio scompare.

Il ransomware tende a cambiare il nome del file come parte del processo di crittografia. Locky aggiunge un'estensione file .lock a tutti i documenti, mentre CryptXXX utilizza l'estensione file .crypt. Esamina i file e vedi quali file sono stati modificati. Verifica se puoi ancora aprirli o se puoi modificare di nuovo le estensioni dei file e aprire i file. A volte, le estensioni dei file sono state modificate senza effettivamente crittografare i file.

Torna nel sistema utilizzando un Live CD di Linux e cerca nel sistema per vedere se i file effettivi sono stati spostati o rinominati. La maggior parte dei sistemi operativi moderni può eseguire ricerche nel contenuto del file insieme ai nomi dei file.

Non portare le tue speranze troppo alte

Anche se è bene essere scettici, se vedi una richiesta di riscatto, probabilmente è legittimo. Grazie ai kit crimeware precaricati con ransomware e ransomware as a service, la barriera all'ingresso è molto più bassa. Script kiddies e altri criminali meno tecnicamente inclini stanno cercando di cavarsela sul successo di vere gang di ransomware senza mettersi al lavoro.

"La semplicità di acquistare il tuo cripto-malware da un provider di crime-as-a-service ora significa che i criminali informatici possono facilmente implementare un attacco ransomware che utilizza una crittografia complessa ed efficace contro i loro obiettivi", afferma lo stratega della sicurezza informatica di Mimecast, Orlando Scott-Cowley .

Le infezioni da ransomware sono una seria minaccia e gli attacchi falsi sono relativamente rari. Ma prima di iniziare il processo di ricostruzione della macchina per recuperare da un'infezione da ransomware, assicurati di non essere truffato. Ci vogliono solo pochi minuti.

Se si scopre che sei stato vittima della realtà, potresti avere un'altra piccola possibilità: strumenti di decrittazione disponibili pubblicamente.