Un nuovo genere di Malwares di nome Scarewares
Molte persone sostengono che il 2010 sarà l’anno della sicurezza informatica. La crisi economica unita alla crescita delle possibilità offerte dal cloud computing rende la gestione dei dati elettronici un compito molto complesso. E’ evidente che l’espansione dei social network mette a repentaglio la sicurezza non solo delle grandi industrie ma del singolo individuo: ne è un esempio il caso dell’attacco alla rete Twitter.
La gestione della sicurezza dati è un argomento molto delicato che richiede uno sforzo elevato, una grande collaborazione tra i protagonisti ed una maggiore sensibilità di ogni utente.
Affrontiamo il problema della sicurezza informatica parlando di scarewares, attraverso la lettura di Study of a New Genre of Malawares called “Scarewares” (USA Virginia 2010), scritto da Rajdeep Chakraborty, Microsoft MVP esperto in Malware Research e fondatore di una delle più grandi community antimalware (www.malwareinfo.org).
Il termine Malware indica un codice maligno sviluppato per prendere il controllo di un dispositivo digitale. A secondo della tipologia può essere definito in modi diversi come: Virus, Trojan, Spyware, Adware, etc. L’obiettivo dell’ articolo di C. è quello di focalizzare l’attenzione su un nuovo genere di malwares chiamato scarewares. La tecnica si basa sul principio di spaventare (appunto scare) l’utente costringendolo a scaricare un file malevolo che compromette il funzionamento del computer.
Rogue anti-spyware è probabilmente l’esempio più famoso di scarewares, un’applicazione che ha invaso lo spazio web. In sostanza questo software usa una serie di trucchi per convincere l’utente che naviga a scaricarlo per rimuovere eventuali malware presenti sul sistema operativo. In altre parole, navigando sulla rete è possibile veder apparire all’improvviso sul monitor un avviso popup che imita un “Warning!!” oppure un avviso di “System Error!!”, con cui si indica la presenza di un file infetto. Il popup offre un free download per rimuovere il codice malevolo. Inizia in questo modo l’infezione: l’applicazione installa infatti un browser helper object (BHO) che si integra come plugin del browser. Si avvia così l’attività di malware che spesso si evidenzia all’utente o come una serie di messaggi che sembrano provenire dal sistema operativo o, altre volte, come semplici messaggi di alert. Il software è capace di imitare i principali segnali di help di Windows XP, ad esempio: in sostanza fa di tutto affinché l’utente si trovi in una situazione di panico. I messaggi cominciano allora a diventare sempre più frequenti fino a mostrare quello in cui si comunica la necessità di acquistare la versione a pagamento per rimuovere tutti i files infetti. E’ soltanto un’azione per spaventare l’utente che alla fine cade nella trappola di acquistarlo.
Se Rogue Securety Software spinge all’acquisto del prodotto, Ransomware obbliga al pagamento pena la perdita del controllo sul sistema operativo. Questo secondo malware, con una tecnica simile a quella esposta sopra, blocca l’accesso al sistema operativo oppure cripta i dati impostando un termine ultimo di pagamento per il loro recupero.
Ransomware, spesso riconosciuto anche come Trojan.Ransomlock oppure Trojan.Randsomcrypt, quando infetta un computer fa comparire una schermata del tipo: “WINDOWS BLOCKED FOR UNLOCKING YOU NEED TO SEND TEXT: #win ….. TO THE NUMBER …. THE COST IS AROUND … EUR.” Non è facile eliminare il programma dal momento che il software blocca l’attivazione del task manager e i files criptati sono tutti quelli con le estensioni più comuni: .doc, .jpg, .zip, .jpeg, .php, .eml, etc. Anche in questo caso per rimuovere il Malware è richiesto il pagamento di una cifra precisa che rilascia un codice di sblocco per i dati. Nel maggio del 2005 si è vista forse la più grande evoluzione di Ransomlock con la versione Gpcoder che usa l’algoritmo Rsa di criptazione a 1024-bit. Da qui si avvia una continua evoluzione di algoritmi di criptazione, sempre più complicati, che costringono l’utente a pagare le cifre richieste laddove i dati fossero indispensabili.
Prima di occuparci di come rimuovere questi files, è importante mettere in evidenza alcune regole semplici ma che non si devono mai dimenticare: 1- non aprire mail che provengono da utenti sconosciuti o per lo meno improbabili, come personaggi famosi, e non aprire mai direttamente link web se non si è più che si sicuri della provenienza: in caso di dubbio riscrivere link a mano sullo spazio url del browser; 2- se durante la navigazione vi appare improvvisamente un popup che indica che il vostro computer è infetto, ignoratelo; 3- leggere sempre le licenze dei software sopratutto se la prima volta che li installate; 4- usare un firewall: già la versione SP2 di Windows ne ha uno a disposizione; 5- tenere il sistema operativo aggiornato il più possibile; 6- ogni tanto lanciare un antivirus on line o stand alone (tipo mware.exe)
Nel caso in cui fossimo già caduti vittima di uno scarewares, le prime operazioni che possiamo fare sono: 1- riavviare il sistema operativo in modalità provvisoria e, nel caso in cui la manovra riuscisse, rimuovere il programma dall’autostarting: e si può allora lanciare un antivirus per individuare i files infetti e la posizione di quest’ultime eliminando anche le possibili voci delle chiavi di registro (regedit dal command prompt); 2- nel caso in cui la rimozione fallisse, fare l’avvio da una distro linux live, cioè buttabile da cd-rom, e provare a rimuovere i files; 3- se i files non fossero identificati dall’antivirus in modalità provvisoria, provare a montare l’hard disk in modalità slave su un altro PC e provare a lanciare l’antivirus da questa posizione (tentare anche con più tipologie di software); 4-nel caso i files fossero criptati, provare con il cloud computing (per cui si richiede però un utente più esperto) per decriptarli.
Il fine del post non è sicuramente quello di presentare un HOWTO, cioè un’esposizione di come rimuovere i virus, malwares, etc (peraltro la rete è piena di siti a ciò deputati), ma vuole sensibilizzare ogni utente di rete a fare attenzione durante la navigazione, anche se non gestisce dati sensibili. Spesso l’utente medio, in maniera superficiale, sostiene di sentirsi sicuro, di non aver nulla da perdere, ma questo non è sempre vero e inoltre la perdita di controllo del proprio PC può renderlo base di attacco per altri utenti. Il web ci apre certo le porte al mondo, ma facciamo attenzione che le porte aperte siano sempre da noi controllate…
Abbiamo appena fatto cenno al cloud computing, un argomento fondamentale per la sicurezza informatica, che ci ripromettiamo di approfondire nell’immediato futuro.
M.T.