Ransomware su Mac: il falso messaggio dei Carabinieri che ti blocca il browser

Il ransomware che blocca il browser arriva anche in Italia su Mac con un messaggio (falso) dei Carabinieri. Ecco come liberarsi del problema.

«Il suo computer è stato bloccato per motivi di sicurezza». Segue un pistolotto infarcito di commi di legge e la richiesta di denaro, sotto forma di presunta sanzione. Su tutto campeggia una serie di simboli delle forze dell’ordine, vigilato dallo sguardo benevolo di Napolitano.  È un ransomware, un “virus” (virgolette d’obbligo) che da tempo colpisce gli utenti PC e che da qualche settimana sembra essere sbarcato anche su piattaforma Mac.

La presenza di un ransomware su Mac era stata segnalata lo scorso anno negli USA dove si usava il nome dell’FBI per tentare di spillare soldi a utenti facilmente impressionabili, mentre in Canada il marchio della Royal Canadian Mounted Police.  Evidentemente il tentativo di truffa è stato esportato anche in Italia “localizzato” con il brand dei Carabinieri, cosa non nuova per il mondo PC. A rendere noto questo fastidioso fenomeno, frutto in altri paesi dell’azione di pirati russi che sperano in questo modo di spillare qualche soldo a naviganti facilmente impressionabili, sono alcuni lettori di Macitynet. Nonostante il messaggio tra mondo PC e mondo Mac sia identico, sono molto diverse le tecnologie usate e le conseguenze.

Sul Mac il problema potrebbe nascere da qualche meccanismo d’indirizzamento automatico dei banner pubblicitari di alcuni network (non controllabili da chi gestisce il sito): basta normalmente chiudere la pagina che compare e non preoccuparsi. In casi più rari, l’utente potrebbe essere incappato su OS X in quello che si chiama hijacker del browser (falle che sfruttano JavaScript). In questo caso diventa impossibile chiudere subito la pagina perché il browser la ricaricherà costantemente (centinaia di volte). L’unico sistema per liberarsi del falso messaggio dei Carabinieri è resettare il browser (con il browser di Apple, ad esempio, basta scegliere dal menu “Safari” la voce “Ripristina Safari”, selezionare tutti gli elementi e fare click su “Reinizializza”; In Firefox potrebbe essere necessario rimuovere nel browser del panda rosso l’estensione denominata  ukash. Per liberarsene andate in  Strumenti > Componenti aggiuntivi dove si troverà, appunto, ukash. Il browser del panda rosso si può anche ripristinare totalmente tenendo premuto il tasto Alt all’avvio e scegliendo la voce “Ripristina Firefox” nella finestra che compare.

Su PC (o sulle applicazioni che virtualizzano Windows) il fenomeno è molto più grave, arrivando  a casi che tengono in “ostaggio” il computer dell’utente; su Windows sono segnalati casi di utenti bloccati con la richiesta di una password sconosciuta, i dati vengono rilasciati solo dietro pagamento di un riscatto. Il “rapimento” dei dati può essere condotto in vari modi, che vanno dalla cifratura dei file, fino al blocco dell’intero sistema; i criminali informatici possono anche intervenire direttamente sul Master Boot Record o cambiare le impostazioni di Windows.

GFI Software, società specializzata in sicurezza, spiega che uno schema utilizzato dal ransomware, ha fatto salire il numero dei sistemi “infetti” fino a 350.000 nel solo mese di giugno inserendo il sistema a pieno titolo tra le minacce informatiche più pericolose e diffuse.

Veri e propri malware specifici hanno fruttato ai criminali oltre 70.000 dollari in Bitcoin: le vittime ricevevano email fasulle che le invitavano ad aprire un file .zip da Dropbox ma, appena aperto l’eseguibile su WIndows, un file CryptoWall – un sistema di cifratura a 2048 bit – impediva l’accesso ai dati se non a fronte del pagamento di un riscatto di 500 dollari in Bitcoin (somma che veniva raddoppiata se le vittime non erano veloci abbastanza nel pagare). Bitcoin è una modalità di pagamento opensource che funziona come un conto corrente digitale non nominativo e chi la utilizza non è identificabile; questo rende più difficile tracciare le transazioni illegali.

In molti casi, la chiave per la decodifica è all’interno del computer infetto, per cui non è affatto semplice liberare i file; ci sono servizi di recupero dati che potrebbero essere in grado di recuperarne alcuni, ma sono molto costosi e non danno alcuna garanzia. La cifratura a 2048 bit, come quello di CryptoWall, è lo standard attualmente utilizzato per proteggere i dati sensibili ed è molto sicura; è dunque ideale se ad utilizzarlo è l’utente, molto meno quando serve a mettere sotto sequestro il suo computer.

Pur pagando il riscatto, non esiste poi alcuna certezza che il computer venga liberato dal malware o che i criminali inviino all’utente una chiave per la decodifica(o che funzioni); esistono molti casi in cui le vittime, anche pagando, non sono mai più state ricontattate dall’autore del furto.

Le misure da adottare sono:

– educare i dipendenti sulla pericolosità del ransomware e sulle modalità con le quali può infettare un computer
– adottare policy aziendali che vietino di scaricare file provenienti da mittenti sconosciuti o di aprire allegati da web o da account di storage in cloud
– aggiornare sempre gli antivirus e gli antimalware presenti sui PC con Windows e sulle macchine virtuali con questo sistema
– archiviare i file più importanti su server centrali e non su singolo hard drive o dispositivi personali
– effettuare il backup regolarmente e su differenti hard disk

Esempioransomw