Pubblicato originariamente il 10 marzo 2021.
Guarda il video
Sommario
Introduzione
In questo articolo — collegato al mio approfondimento sui ransomware — mostro, in ambiente controllato (VM con Windows XP + Avast), cosa succede quando l’infezione va a segno.
Cos’è un ransomware
Malware che blocca il dispositivo o cifra i file, chiedendo un riscatto per lo sblocco. Colpisce utenti e aziende.
Prova sul campo
Reveton
- Finge un avviso delle forze dell’ordine
- Blocca il PC e chiede “multe” (voucher/prepagate)
- Mostra IP/anteprima webcam per pressione psicologica
TeslaCrypt
- In origine puntava ai file dei videogiochi, poi a documenti/immagini
- Nel 2016 diffusissimo; gli autori hanno poi rilasciato la chiave master → esistono tool di decrittazione
Jigsaw
- Cifra i file e avvia un timer che elimina progressivamente i dati
- Maschera processi legittimi; essendo in .NET è analizzabile/neutralizzabile
Cosa impariamo
- Backup 3-2-1 e ripristini testati
- Patch rapide (OS & software)
- Antivirus/EDR attivi
- Igiene digitale: niente allegati/link sospetti, privilegi minimi
- Segmentazione rete nelle aziende
Disclaimer
Contenuti didattici: non replicare i test. In caso di infezione, contatta le autorità competenti.
Conclusioni
L’esperimento mostra l’impatto reale di un’infezione e perché prevenzione e formazione siano centrali. Vedi anche “Ransomware: i predatori più pericolosi del Web” per storia e famiglie note.