Cosa fanno gli utenti quando scoprono che un ransomware ha cifrato i loro file? Probabilmente all’inizio si fanno prendere dal panico, poi subentra la preoccupazione e infine cercano un modo di recuperare i dati senza pagare alcun riscatto ai cybercriminali (il che sarebbe comunque inutile). In altre parole, cercano su Google una soluzione o chiedono consigli sui social network. Ed è esattamente ciò che vogliono i creatori del Trojan Zorab, che hanno aggiunto un malware a uno strumento che si propone di aiutare le vittime di STOP/Djvu.
L’esca: il falso decryptor per STOP
I cybercriminali hanno infatti deciso di aggravare i problemi già gravi delle vittime del ransomware STOP/Djvu che cifra i dati e, a seconda della versione, assegna un’estensione tra .djvu, .djvus, .djvuu, .tfunde e .uudjvu, ai file modificati. I creatori di Zorab hanno rilasciato un’utility che sembra decifrare questi file, ma che in realtà li cifra una seconda volta.
Di fatto, è possibile decifrare i file compromessi dalle precedenti versioni di STOP: già nell’ottobre del 2019, Emsisoft ha rilasciato un tool per questo scopo. Tuttavia, le versioni moderne utilizzano un algoritmo di cifratura più affidabile e che la tecnologia attuale non è in grado di decifrare. Quindi, almeno per ora, non esiste alcun decryptor per le versioni moderne di STOP/Djvu.
Diciamo “per ora” perché questi tool nascono per via di due situazioni: o i criminali informatici commettono un errore nell’algoritmo di cifratura (o semplicemente usano un sistema debole), oppure la polizia localizza e sequestra i loro server. Certo, i creatori del ransomware potrebbero pubblicare volontariamente le chiavi ma è un’ipotesi molto azzardata, e anche se lo facessero, le aziende di sicurezza informatica devono comunque creare un’utility pratica che le vittime possano utilizzare per ripristinare i dati. È quanto è successo con le chiavi di cifratura dei file colpiti dal ransomware Shade: ad aprile di quest’anno abbiamo rilasciato un programma specifico.
Come sapere se un decryptor è falso
È estremamente improbabile che degli anonimi dalle buone intenzioni creino un decryptor e lo pubblichino su qualche sito sconosciuto, o forniscano un link diretto su un forum o un social network. È possibile trovare utility autentiche sui siti di aziende che si occupano di sicurezza informatica o su portali specializzati dedicati alla lotta ai ransomware, come nomoreransom.org. Tutti i tool presenti su altri siti vanno guardati con sospetto.
I criminali informatici fanno affidamento sul panico, sapendo che chi ha perso dei file a causa di un cryptror si aggrapperà a qualsiasi speranza. Anche se si ritiene che uno strumento sia, in buona fede, quello corretto, tuttavia è importante mantenere la calma e l’obiettività e verificare se si tratta di un sito affidabile. Se avete dei sospetti sulla sua attendibilità, non servitevi del tool.
Come proteggersi da Zorab e da altri ransomware
- Non cliccate su link sospetti e non eseguite file se non vi fidate della fonte. Se state cercando un decryptor, potete iniziare a guardare su noransom.kaspersky.com, nomoreransom.org (un progetto congiunto gestito da diverse aziende) e sui siti di altri vendor di soluzioni di sicurezza. Se trovate un’utility altrove, vi consigliamo vivamente di verificare la legittimità dei suoi autori e del sito su cui è stata pubblicata prima ancora di pensare di utilizzarla;
- Realizzate copie di backup dei file importanti;
- Utilizzate una soluzione di sicurezza affidabile che rilevi i ransomware conosciuti e, quando trova un elemento sconosciuto, identifichi e blocchi i tentativi di modifica dei file.
Per le aziende che temono i ransomware ma si affidano ad altre protezioni, offriamo Kaspersky Anti-Ransomware Tool. Compatibile con la maggior parte delle soluzioni di sicurezza, rileva le minacce che riescono a superare le loro linee di difesa.