Gli attacchi ransomware compaiono sempre più spesso sulle prime pagine dei notiziari di tutto il mondo, spinti in particolar modo dalle nuove organizzazioni di cyber criminali che fanno del business del ransomware-as-a-service (RaaS) la loro fortuna.

In seguito ad un attacco ransomware, un’azienda dovrà certamente porsi il problema di come potrà riappropriarsi dei dati presi sotto scacco dall’attaccante: sarà opportuno per l’azienda agire rapidamente e trovare una valida soluzione alla presenza di grandi quantità di file criptati dal malware.

decryptor ransomware

Da qualche anno ormai sono numerosi i tool di decriptazione ransomware sviluppati da aziende del settore cybersecurity o rilasciati dalle stesse cybergang.

Che cosa sono i i software definiti decrypt ransomware?
Davvero è possibile decriptare file attraverso un tool online?
Si tratta di soluzioni sicure?

Risponderemo a tutte queste domande e a molte altre nel nostro articolo.

  1. Crittografia e ransomware, di che cosa si tratta?
  2. 2 errori da non fare se sei stato attaccato da ransomware
  3. Identificare la variante di ransomware
  4. Tipologie di strumenti per decriptare file sottratti dai ransomware
  5. Conclusioni sui decryptor ransomware

Crittografia e ransomware, di che cosa si tratta?

Oggi è inutile nasconderlo: i ransomware sono diventati un problema oggettivo per le nostre aziende al punto da doverli considerare ormai una seria minaccia. Criptano dati, bloccano sistemi operativi e quel che è peggio: chiedono un riscatto e ci minacciano di divulgare tutto il nostro know how se non sottostiamo alle loro richieste.

Per molto tempo, gli analisti di malware e gli esperti di sicurezza hanno cercato una soluzione tecnica per agire sul metodo attraverso il quale i ransomware ci sottraggono interi database e rendono inaccessibili qualsiasi tipologia di file: la crittografia.
Eppure, ad oggi, dobbiamo proprio dirvelo: non esiste una soluzione definitiva.

Il ransomware utilizza la crittografia per rendere i file del sistema inaccessibili agli utenti.
La crittografia è il processo che permette di trasformare l’estensione di un file e il suo contenuto in modo che risulti illeggibile a chiunque, tranne a coloro che ne possiedono la chiave di lettura (o chiave di decriptazione).

In buona sostanza, quando il ransomware si ritrova nei meandri di un sistema informatico, inizia a criptare i file presenti ricorrendo ad uno speciale un algoritmo.
Questo algoritmo quasi sempre utilizza una chiave pubblica per criptare i file e una chiave privata per decrittarli.
Poiché la chiave privata è tenuta segreta dai cyber criminali, gli utenti non possono decrittare i file: violare questa tecnologia è pressoché impossibile con le anche con le moderne tecnologie, servirebbero enormi risorse di calcolo per riuscire a decriptare la crittografia impiegata dai ransomware.
Una volta che i file sono stati criptati, il ransomware informa le vittime dell’attacco e chiede loro di pagare un riscatto per ottenere la chiave di decrittazione (attraverso un documento chiamato ransomware note).

Una volta che il riscatto viene pagato, gli attaccanti potrebbero fornire alle vittime la chiave di decrittazione per ripristinare l’accesso ai file. Tuttavia, non esiste alcuna garanzia che questo accadrà effettivamente.

Le fasi di crittografia del ransomware possono variare a seconda del tipo di cryptovirus che vi infetta, in funzione del fatto che ogni cyber gang ricorre ad una tecnologia di crittografia diversa. Di seguito sono riportate alcune fasi comuni:

2 errori da non commettere se siete stati attaccati da ransomware

Se i tuoi dati sono stati crittografati da un ransomware, ci sono alcuni comportamenti che sconsigliamo di adottare senza il supporto e il benestare di un team di specialisti cybersecurity. Sul tavolo ci sono i vostri dati, un solo passo falso può mettere a repentaglio tutto il processo di decrypt ransomware :

  1. Non decriptare i file servendoti di qualche tool online
    ci sono molti siti web che offrono tool di decryption online ma non tutti sono affidabili. Ricorrere ad un software di recupero dati non affidabile potrebbe causare ulteriori danni ai tuoi dati o peggio, potreste rischiare di incappare in una nuova minaccia.
  2. Non intraprendere da soli la strada del ransomware decryptor
    il processo di decifrazione dei dati può essere molto complesso e richiedere competenze specialistiche che non tutti gli utenti possiedono. Tentare di decifrare i dati in autonomia potrebbe causare ulteriori danni o rendere il processo di recupero ancora più difficile.

Identificare la variante di ransomware

Esistono diverse varianti di ransomware, ognuna delle quali impiega, come dicevamo, algoritmi di crittografia diversi.
Tuttavia, al fine di proseguire con il percorso di decriptazione dei file corretto dovrete tenere in considerazione questi elementi:

  • Cercare i file crittografati all’interno del sistema
    la maggior parte dei ransomware crittografa i file presenti sul desktop per poi spostarsi più all’interno della rete. Per questo motivo, uno dei modi per individuare di che tipo di ransomware si tratta, bisogna cercare i file crittografati.
  • Cercare file di ransom note
    i ransomware lasciano un file di “ransom note” (nota di riscatto) nella cartella di sistema o nella cartella di avvio.
    Questo file di solito contiene informazioni su come contattare gli hacker e come pagare il riscatto per decrittografare i file. La presenza di un file di ransomware note piuttosto che un’altra può aiutare a identificare la variante di ransomware che ha colpito il sistema.
  • Verifica le estensioni dei file criptati
    alcune varianti di ransomware aggiungono un’estensione specifica ai file crittografati.
    Ad esempio, il ransomware CryptoLocker aggiunge l’estensione “.CryptoLocker” ai file crittografati. Verificando le estensioni dei file crittografati, potreste essere in grado d’identificare la variante di ransomware che ha colpito il sistema.

Tipologie di strumenti di decrittazione ransomware

I software di decryptor ransomware possono essere divisi in due categorie principali: quelli rilasciati dalle istituzioni o dalle società di sicurezza informatica, e quelli rilasciati dagli stessi cyber criminali.

I decryptor ransomware distribuiti da enti governativi o aziende specializzate sono solitamente accessibili disponibili per il download pubblico.
Questi decryptor sono sviluppati per decifrare i file crittografati da specifici cryprovirus e sono stati testati per garantirne l’affidabilità e l’efficacia. Gli sviluppatori di questi strumenti lavorano in stretta collaborazione con le forze dell’ordine e le organizzazioni governative per identificare i ransomware e sviluppare le chiavi di decifrazione necessarie.

Di seguito alcuni esempi di decryptor ufficiali:

  • WannaDecryptor 2.0
  • Locky Decrypter
  • Cerber Decryptor
  • CryptXXX Decryptor
  • Hidden Tear Decryptor
  • RannohDecryptor

I decryptor non ufficiali, al contrario, sono solitamente distribuiti dalle stesse organizzazioni che hanno distribuito il ransomware.
Questi decryptor sono a pagamento e possono essere acquistati dalle vittime dell’attacco per decifrare i propri file. Tuttavia, non c’è alcuna garanzia che questi decryptor siano effettivamente in grado di decifrare i file crittografati e, in alcuni casi, possono anche contenere malware o altre minacce per la sicurezza.

Esempi di decryptor rilasciati dai cyber criminali possono essere:

  • Decryptor Service” o “Ransomware Decryption Service” spesso pubblicizzati sui siti web creati dai cyber criminali per l’esplicito scopo di monetizzare attraverso il riscatto.
  • Decryption key” venduti su dark web.

Conclusioni sui decryptor ransomware

In conclusione, i decryptor ransomware sono strumenti importanti per le vittime degli attacchi ransomware poiché consentono di recuperare i file crittografati senza dover pagare il riscatto richiesto dai cyber criminali. Tuttavia, è importante scegliere con attenzione lo strumento di decryptor da utilizzare e verificare che sia stato sviluppato da una fonte affidabile.

Inoltre, è fondamentale ricordare che non tutti i ransomware possono essere decifrati e che i decryptor possono non essere sempre efficaci a causa dell’evoluzione continua del malware e delle tecniche di crittografia utilizzate. Per evitare di diventare vittime di un attacco ransomware, è indispensabile implementare pratiche di sicurezza informatica solide.

Ecco alcune raccomandazioni:

  1. Mantenere il sistema operativo e le applicazioni aggiornate
    assicurarsi d’installare sempre gli ultimi aggiornamenti di sicurezza per proteggere il sistema da vulnerabilità note.
  2. Non aprire e-mail o messaggi di testo sospetti
    evitare di aprire e-mail o messaggi di testo sospetti o da mittenti sconosciuti, poiché potrebbero contenere link dannosi o allegati malware.
  3. Attivare la protezione perimetrale di un firewall
    attivare il firewall del computer per proteggere il sistema da attacchi esterni.
  4. Disabilitare l’esecuzione automatica di file scaricati
    configurare il browser per impedire l’esecuzione automatica di file scaricati dai siti Web.

Infine, la formazione dei dipendenti è un aspetto cruciale per proteggere la tua azienda contro gli attacchi di ransomware. I dipendenti devono essere informati sui rischi associati al ransomware e su come evitare di caderne vittima.