Cosa è un Ransoware
Se sei in questa pagina ti stai chiedendo Cosa è un Ransoware, ti rispondo subito. Il Ransoware comunemente chiamato anche Cryptolocker, è un virus che crittografa i files presenti in un computer rendendoli illeggibili. Scopo dei delinquenti che hanno creato questa famiglia di virus è quello di chiedere, alla vittima, un riscatto per ottenere un “decrittatore” in grado di recuperare i files danneggiati.
Nella maggior parte dei casi, il virus si diffonde attraverso un allegato email o in alcuni casi attraverso pagine web infette.
Vengono crittografati i file utente degli hard disk del computer (le estensioni dei files.variano a seconda della tipologia di virus, sono comunque colpite le estensioni più diffuse come: .DOC,.DOCX,.XLS, .XLSX, .PDF, .JPG, .MDB, .PST ovviamente anche i dispositivi esterni di archiviazione contenenti dati a esso collegati saranno criptati.
Inolte vengono crittografati tutte le cartelle di rete condivise da altri computer dove l’utente ha accesso con permessi in scrittura. Al momento nelle varianti conosciute i files crittografati non sono infettanti, così come eventuali hard disk o pendrive USB colpiti dal virus non propagano l’infezione se connessi ad altri computer.
I file crittografati dal virus vengono parzialmente riscritti con un codice di crittografia la cui chiave è univoca e segreta conosciuta dal creatore del virus che in molti casi indentifica il malcapitato tramite l’email. Tali files non possono essere più aperti, letti o modificati.
Ad ogni riavvio, nella maggior parte delle infezioni, il virus si riattiva e continua la sua opera distruttiva. E’ quindi consigliato tenere un pc infetto spento.
Se il computer appertiene ad una rete e’ fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione della criptazioni di dati su cartelle condivise.
La variante più diffusa si sta diffondendo cliccando un link all’interno di una falsa email dal corriere SDA o da EQUITALIA.
Un’altra variante in rete colpisce i Server attraverso un accesso fraudolento in Desktop Remoto (RDP TCP 3389) che consiglio comunque di non aprire all’esterno ma utilizzare una VPN, anche se è opportuto cambiare la porta TCP …vedi guida.
Quest’ultima variante è estremamente pericolosa, sia perchè gli hacker che si introducono illegalmente nel sistema sono liberi di disattivare gli antivirus e di devastare il computer colpito.
Raccomando sempre, in caso di infezione, la tempestività nell’intervento: appena ci si accorge dell’infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico.
Particolare attenzione va prestata all’eventuale server, che va isolato dalla rete appena ci si rende conto dell’infezione,
Le raccomandazioni sono sempre le stesse: se infetti, spegnete immediatamente il PC e chiamateci.