{"id":8648,"date":"2016-07-20T14:22:23","date_gmt":"2016-07-20T14:22:23","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8648"},"modified":"2019-11-22T11:19:44","modified_gmt":"2019-11-22T09:19:44","slug":"ask-expert-yornt-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ask-expert-yornt-ransomware\/8648\/","title":{"rendered":"Chiedi all&#8217;esperto: Jornt van der Wiel parla di ransomware"},"content":{"rendered":"<p>Jornt van der Wiel \u00e8 un membro del nostro GReAT (Global Research and Analysis Team) e il nostro maggiore esperto di ransomware e criptografia. Vive nei Paesi Bassi e lavora per Kaspersky Lab da pi\u00f9 di due anni.<\/p>\n<p>Abbiamo offerto ai nostri lettori la possibilit\u00e0 di rivolgere a Jornt qualsiasi tipo di domanda sul ransomware e sulla criptografia, e il riscontro \u00e8 stato eccezionale. Infatti, c\u2019erano troppe domande da pubblicare in un solo post del blog, per cui le abbiamo divise in due gruppi. In questo post, Jornt risponde a domande che riguardano principalmente il ransomware e nel prossimo tratter\u00e0 la criptografia.<\/p>\n<p><strong>Ritieni che in futuro il ransomware ci riguarder\u00e0 sempre pi\u00f9, rispetto ad altre categorie di malware come i classici virus e i trojan?<\/strong><\/p>\n<p>Assolutamente s\u00ec. Stiamo assistendo a un\u2019ascesa sia nella scoperta di nuove famiglie, sia nei tentativi di infezione ai danni degli utenti. La minaccia aumenta di giorno in giorno, soprattutto perch\u00e9 il ransomware \u00e8 relativamente facile da monetizzare. Un criminale infetta qualcuno, la vittima paga e una volta avvenuto il pagamento, questa riceve i codici ed \u00e8 in grado di decriptare i file. Non occorre alcuna ulteriore comunicazione o qualsiasi altra interazione. Ci\u00f2 contrasta, ad esempio, con il malware bancario, che in genere richiede che i criminali parlino alle loro vittime via chat.<\/p>\n<p><strong>Come posso evitare di essere colpito dal ransomware?<\/strong><\/p>\n<ul>\n<li>Installate sempre gli ultimi aggiornamenti del vostro software;<\/li>\n<\/ul>\n<ul>\n<li>Non cliccate su link o allegati in email sospette;<\/li>\n<\/ul>\n<ul>\n<li>Abilitate estensioni di file in Windows (in modo da vedere se il nome del file sia davvero <em>pdf.exe<\/em> invece di <em>invoice.pdf<\/em> soltanto);<\/li>\n<\/ul>\n<ul>\n<li>Mantenete la vostra <a href=\"https:\/\/store.kaspersky.it\/qte.html?R=KIS2016AI11ABO\" target=\"_blank\" rel=\"noopener nofollow\">soluzione anti-virus<\/a> aggiornata e configurata con le euristiche attive;<\/li>\n<\/ul>\n<ul>\n<li>E, quando le cose si mettono male, fate i backup. Conservateli offline, o archiviate i vostri file nel cloud con controllo di versione illimitato (cos\u00ec, anche se i vostri file vengono criptati sul vostro drive locale, che \u00e8 quindi sincronizzato col cloud, potete ancora recuperare l\u2019ultima versione non criptata).<\/li>\n<\/ul>\n<p><strong>Come privato, sono pi\u00f9 vulnerabile al ransomware di una compagnia?<\/strong><\/p>\n<p>Il ransomware prende di mira tutti. A volte punta a specifiche compagnie, ma perlopi\u00f9 assistiamo a massicce serie di spam il cui scopo \u00e8 infettare chiunque. D\u2019altra parte, le grandi aziende non sono disposte e pagare il riscatto: di solito hanno i backup a posto. Talvolta \u00e8 pi\u00f9 probabile che aziende pi\u00f9 piccole paghino perch\u00e9 ripristinare il backup potrebbe costargli pi\u00f9 che pagare il riscatto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Quando \u00e8 possibile decriptare i file criptati col ransomware?<\/strong><\/p>\n<p>\u00c8 possibile nei seguenti casi:<\/p>\n<ul>\n<li>Gli autori del malware fanno un errore di implementazione, rendendo possibile interrompere il criptaggio. Era questo il caso del <a href=\"https:\/\/www.kaspersky.com\/blog\/petya-decryptor\/11819\/\" target=\"_blank\" rel=\"noopener nofollow\">ransomware Petya<\/a> e di <a href=\"https:\/\/www.kaspersky.com\/blog\/cryptxxx-ransomware\/11939\/\" target=\"_blank\" rel=\"noopener nofollow\">CryptXXX<\/a><u>.<\/u> Purtroppo, non posso fornirvi una lista degli errori che compiono, poich\u00e9 li aiuterebbe a non farli di nuovo. Ma in generale, non \u00e8 facile criptare in maniera corretta. Se volete saperne di pi\u00f9 su criptografia ed errori, vi consiglio di cercare alla voce \u201cMatasano crypto challenges.\u201d<\/li>\n<\/ul>\n<ul>\n<li>Gli autori del malware dopo si sentono in colpa e pubblicano i codici o una \u201cmaster key\u201d, come nel caso di <a href=\"https:\/\/www.kaspersky.com\/blog\/raknidecryptor-vs-teslacrypt\/12169\/\" target=\"_blank\" rel=\"noopener nofollow\">TeslaCrypt<\/a><\/li>\n<\/ul>\n<ul>\n<li>Le forze dell\u2019ordine si appropriano di un server con i codici e li condividono. L\u2019anno scorso, usando codici recuperati dalla polizia olandese, abbiamo creato un tool di decriptazione per le vittime di CoinVault.<\/li>\n<\/ul>\n<p>A volte anche pagare il riscatto funziona, ma non garantisce che il pagamento porter\u00e0 davvero alla decriptazione dei vostri file. Inoltre, se pagate, state sostenendo il modello di business del criminale e quindi avete una parte di responsabilit\u00e0 nell\u2019infezione da ransomware di sempre pi\u00f9 persone.<\/p>\n<p><strong>Nelle istruzioni per fare i conti con CryptXXX, dici che oltre al file criptato, ti serve anche il file non criptato. Allora qual \u00e8 il senso del software? Se avessi il file non criptato, non mi servirebbe il tuo tool\u2026<\/strong><\/p>\n<p>Un\u2019ottima domanda, e grazie per averla posta. Questo dimostra che dobbiamo essere pi\u00f9 chiari in futuro. Questo ransomware cripta tutti i vostri file con lo stesso codice. Quindi, se avete 1000 file criptati, e di questi file possedete solo un file originale salvato da qualche parte (per esempio, il file \u00e8 una foto che avete mandato a qualcuno). Se inserite solo questo file nella nostra utility di decriptazione, possiamo recuperare il codice di decriptazione, e poi i vostri altri 999 file possono essere decriptati. Tuttavia, vi serve quel file originale.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Alert?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Alert<\/a> We've got a <a href=\"https:\/\/twitter.com\/hashtag\/decryptor?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#decryptor<\/a> for those infected with <a href=\"https:\/\/twitter.com\/hashtag\/CryptXXX?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#CryptXXX<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"https:\/\/t.co\/MTtTKQom79\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/MTtTKQom79<\/a> <a href=\"https:\/\/t.co\/N56Wof2BZY\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/N56Wof2BZY<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/724652181580853249?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 25, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Il malware che cripta i file \u00e8 l\u2019unico tipo di ransomware?<\/strong><\/p>\n<p>No, esiste anche il ransomware che vi blocca il computer. Ad ogni modo, questo tipo di solito \u00e8 facile da bypassare o da rimuovere, ecco perch\u00e9 oggigiorno \u00e8 sempre meno diffuso. Se volete saperne di pi\u00f9 su questo ransomware e come combatterlo, date un\u2019occhiata a questo <a href=\"https:\/\/www.kaspersky.com\/blog\/kaspersky-windowsunlocker-2\/12275\/\" target=\"_blank\" rel=\"noopener nofollow\">post sul nostro blog<\/a>.<\/p>\n<p><strong>Da quel che vedo sulla stampa internazionale, parlare del problema del ransomware \u00e8 come il gioco del gatto e topo: voi trovate una soluzione e i vostri avversari tentano di aggirarla. \u00c8 davvero cos\u00ec?<\/strong><\/p>\n<p>Non proprio. Il nostro componente System Watcher<u>,<\/u> che osserva il comportamento dei processi in esecuzione, pu\u00f2 rilevare la maggior parte dei nuovi attacchi ransomware che incontra, anche quelli di ransomware ancora sconosciuti. Ok, ci sono esempi rari che non sono rilevati dal nostro System Watcher. Allora facciamo una nuova firma comportamentale che, inoltre, cattura il nuovo tipo di attacco. Ripeto, \u00e8 molto insolito.<\/p>\n<p><strong>I criminali esigono il pagamento in bitcoin, che sono difficili da tracciare. \u00c8 possibile tenere davvero traccia di questi criminali e risalire a loro?<\/strong><\/p>\n<p>In realt\u00e0, tracciare una transazione in Bitcoin non \u00e8 difficile: le transazioni sono registrate nella <a href=\"https:\/\/www.kaspersky.com\/blog\/bitcoin-blockchain-news\/8116\/\" target=\"_blank\" rel=\"noopener nofollow\">blockchain<\/a>. Questa \u00e8 la natura del Bitcoin: si pu\u00f2 tracciare qualsiasi transazione. Ci\u00f2 che non sappiamo \u00e8 <em>chi<\/em> sta all\u2019altro capo della transazione. Per cui le forze dell\u2019ordine possono tracciare le transazioni a un wallet, ma devono comunque scoprire a chi appartiene quel wallet.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Part 2 of our <a href=\"https:\/\/twitter.com\/hashtag\/Expert?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Expert<\/a> Q&amp;A with <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> discusses <a href=\"https:\/\/twitter.com\/hashtag\/DDoS?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#DDoS<\/a> &amp; more <a href=\"https:\/\/t.co\/dwZahpnAr8\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/dwZahpnAr8<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"http:\/\/t.co\/dbhaB6yFvI\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/dbhaB6yFvI<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/615549466544898048?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 29, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>I sistemi di mixing per Bitcoin sono stati introdotti per ostacolare i tentativi di tracciamento. Immaginate il mixer come una macchina dove inserite molti bitcoin che vengono poi scambiati molte volte tra i proprietari, il che rende difficile tracciarli. Quindi, per esempio, io sono una vittima e ho bisogno di pagare un bitcoin a un wallet. Effettuo il pagamento a un wallet, e poi il medesimo bitcoin va a un mixer. Il bitcoin viene scambiato con quello di qualcun altro. In questo modo, alla fine non sappiamo pi\u00f9 quale bitcoin tracciare. E come potete immaginare, succede spesso.<\/p>\n<p>Varie ricerche sono state svolte al riguardo (potete tovarne un sacco su Google) e dimostrano che tracciare \u00e8 possibile. In breve: a volte \u00e8 possibile tracciare le transazioni fino a un wallet, ma non \u00e8 facile, e anche quando si trova il wallet, chi scambia bitcoin deve lavorare con le forze dell\u2019ordine per rivelare le credenziali del proprietario del wallet.<\/p>\n<p><strong>Quanti anni ci sono voluti per scoprire CoinVault e trovare i suoi creatori?<\/strong><\/p>\n<p>In sostanza, la storia di CoinVault cominci\u00f2 quando Bart di Panda Security twitt\u00f2 di aver scoperto ulteriori campioni di CoinVault. Risult\u00f2 che due di essi non erano CoinVault, ma a esso chiaramente collegati. Decidemmo di scrivere un post al riguardo e di creare una timeline della sua evoluzione. Quando avevamo quasi completato il post, lo inviammo alla National High Tech Crime Unit (NHTCU).<\/p>\n<p>Dopo averlo terminato, trovammo degli indizi che ci portarono a due possibili sospetti. Naturalmente, condividemmo questa informazione con la NHTCU. Tra il tweet di Bart e la nostra scoperta pass\u00f2 un mese, ma ovviamente non avevamo trascorso tutto il tempo dedicandoci soltanto al post del blog: avevamo anche del lavoro non legato a CoinVault. Dopo la pubblicazione del post, la NHTCU ha impiegato altri sei mesi circa per montare un caso approfondito e finalmente i criminali vennero <a href=\"https:\/\/www.kaspersky.com\/blog\/criminals-behind-the-coinvault-ransomware-are-busted-by-kaspersky-lab-and-dutch-police\/9886\/\" target=\"_blank\" rel=\"noopener nofollow\">arrestati a settembre dello scorso anno.<\/a><\/p>\n<p><strong>Quanto guadagnano i cybercriminali con il ransomware?<\/strong><\/p>\n<p>Ottima domanda, ma a cui \u00e8 piuttosto difficile dare una risposta. Possiamo averne la certezza solo quando siamo in grado di tracciare, ad esempio, tutte le transazioni bitcoin a un certo wallet. O quando la polizia sequestra un server di comando e controllo che contiene informazioni sul pagamento. Ma per darvi un\u2019idea, poniamo il caso che un criminale \u00e8 stato capace di infettare 250.000 persone (questa \u00e8 probabilmente una stima accurata se stiamo parlando di grandi campagne). E supponiamo che abbia chiesto solo 200$ per decriptarla (la media reale si aggira sui 400$). Se pagasse solo l\u20191% delle vittime infette, il ricavato sarebbe di circa 500.000$.<\/p>\n<p><strong>\u00c8 possibile che un PC infetto all\u2019interno di una rete locale diffonda il ransomware attraverso la rete ad altri computer che hanno lo stesso sistema operativo? Pu\u00f2 un ransomware colpire diversi sistemi operativi?<\/strong><\/p>\n<p>Per la prima parte della tua domanda: se il ransomware ha abilit\u00e0 da worm, pu\u00f2 diffondersi attraverso una rete. Per esempio, <a href=\"https:\/\/www.kaspersky.com\/blog\/zcryptor-ransomware\/12268\/\" target=\"_blank\" rel=\"noopener nofollow\">Zcryptor<\/a> e <a href=\"https:\/\/threatpost.com\/new-server-side-ransomware-hitting-hospitals\/117059\/\" target=\"_blank\" rel=\"noopener nofollow\">SamSam sono due famiglie di ransomware con queste capacit\u00e0.<\/a><\/p>\n<p>Per la seconda parte della tua domanda: \u00e8 possibile che un ransomware infetti molteplici sistemi operativi se attacca i server web. Cos\u00ec, ad esempio, il ransomware potrebbe prendere di mira un sistema di <em>content management<\/em> vulnerabile scritto in PHP. Il ransomware potrebbe quindi infettare un computer Windows che ha un web server con PHP installato. E poi potrebbe scansionare altre parti di Internet cercando altri computer da infettare. Sul computer successivo potrebbe esserci Linux in esecuzione, ma con un web server PHP. Per sintetizzare, la risposta \u00e8 s\u00ec, esiste il ransomware multipiattaforma.<\/p>\n<p>La prossima settima pubblicheremo le risposte di Jornt riguardo la criptografia. Stay tuned!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Come proteggervi dal ransomware? Esistono cryptor multipiattaforma? Quanto tempo ci vuole per catturare un cybercriminale? Jornt van der Wiel parla di tutto questo e di altro ancora.<\/p>\n","protected":false},"author":40,"featured_media":8649,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,2195],"tags":[1449,1074,2028,43,2050,635,45,1490],"class_list":{"0":"post-8648","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-coinvault","10":"tag-criptografia","11":"tag-cryptor","12":"tag-intervista","13":"tag-locker","14":"tag-ransomware","15":"tag-sicurezza","16":"tag-teslacrypt"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ask-expert-yornt-ransomware\/8648\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ask-expert-yornt-ransomware\/7424\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ask-expert-yornt-ransomware\/7457\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ask-expert-yornt-ransomware\/7408\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ask-expert-yornt-ransomware\/8744\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ask-expert-yornt-ransomware\/12545\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ask-expert-yornt-ransomware\/2298\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ask-expert-yornt-ransomware\/12631\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ask-expert-yornt-ransomware\/5877\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-yornt-ransomware\/6445\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ask-expert-yornt-ransomware\/5175\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ask-expert-yornt-ransomware\/8229\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ask-expert-yornt-ransomware\/12044\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ask-expert-yornt-ransomware\/12545\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ask-expert-yornt-ransomware\/12631\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ask-expert-yornt-ransomware\/12631\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/coinvault\/","name":"CoinVault"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8648","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=8648"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8648\/revisions"}],"predecessor-version":[{"id":18838,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8648\/revisions\/18838"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/8649"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=8648"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=8648"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=8648"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}