Dei ransomware abbiamo più volte parlato su IlSoftware.it. Si tratta di oggetti malevoli, veri e propri malware, che – una volta in esecuzione sul sistema – prendono “in ostaggio” i dati dell’utente chiedendo un riscatto in denaro per ottenerne “lo sblocco” (dall’inglese ransom, riscatto).
L’utilizzo di ransomware per fare soldi è cosa sempre più comune tra gli aggressori informatici: basti pensare al Virus Polizia di Stato ed alle tante sue varianti (Virus Polizia di Stato: rimuovere il malware con quattro diversi metodi) ed al fatto che da qualche tempo anche gli utenti di Mac OS X sono maggiormente presi di mira rispetto al passato (I ransomware iniziano a bersagliare anche Mac OS X).
Più di recente, poi, abbiamo presentato il caso di Cryptolocker, un pericoloso ransomware che “prende in ostaggio” i documenti personali dell’utente crittografandoli con una chiave RSA a 2048 bit rendendo praticamente impossibile qualsiasi attacco brute force. Il ransomware, per sbloccare i file dell’utente, richiede il versamento di un importo variabile generalmente compreso tra 100 e 300 euro (vedere Cryptolocker, il malware che prende in ostaggio i file e Difendersi da Cryptolocker e dagli altri ransomware).
Il problema legato ad un’infezione da Cryptolocker è proprio quello legato all’attuale impossibilità di recuperare i file crittografati. Al momento, l’unico consiglio consiste nel fare un censimento dei file cifrati da Cryptolocker con un software gratuito come ListCrilock e provare a recuperarne una versione precedente usando la funzionalità Versioni precedenti integrata nelle versioni più recenti di Windows.
A tal proposito, suggeriamo la lettura dell’articolo Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”. Grazie a “Versioni precedenti” e Shadow copy, si potranno recuperare le copie di file memorizzate in numerose cartelle.
In alternativa è possibile ricorrere al programma gratuito Shadow Explorer (vedere l’articolo Recuperare file utilizzando la funzione Shadow Copy). Non è comunque garantito di riuscire a recuperare una precedente versione dei propri file.
Rimuovere i virus polizia di Stato, polizia postale e arma dei Carabinieri su Mac OS X
Precisiamo subito che, almeno nel caso di polizia di Stato, polizia postale, Arma dei Carabinieri, Guardia di Finanza ed FBI, su piattaforma Mac non siamo dinanzi a veri e propri virus.
Schermate simile a quella che segue, che possono comparire su Mac indipendentemente dal browser web utilizzato, sono provocate da un hijacker del browser piuttosto che da un virus:
Il termine browser hijacker può essere tradotto, in italiano, come “dirottatore del browser“.
Si tratta di elementi che modificano la home page del browser, il motore di ricerca predefinito, che aggiungono toolbar e bottoni indesiderati, che aprono in continuazione finestre a comparsa (pop-up) spesso contenenti riferimenti a siti porno o casinò online.
Rispetto alle varianti per Windows, la rimozione dei browser hijacker per Mac OS X di polizia di Stato, polizia postale, Arma dei Carabinieri, Guardia di Finanza ed FBI è molto più semplice.
Nel caso di Windows, infatti, ci si trova dinanzi ad un ransomware che blocca l’intero sistema non appena si effettua il login. Nel caso dei sistemi Mac OS X, il browser hijacker impedisce semplicemente l’utilizzo dello specifico browser web visualizzando messaggi simili al seguente: “il suo computer è stato bloccato per motivi di sicurezza e per le seguenti ragioni. Tutte le attività di questo computer sono state registrate. Tutti i file sono crittografati“.
Per procedere alla rimozione su Mac OS X, nel caso in cui l’hijacker abbia preso di mira Safari, è sufficiente cliccare sul menù Mela, in alto a sinistra, selezionare Reinizializza Safari e spuntare almeno Cancella cronologia, Reimposta Top Sites, Rimuovi tutte le immagini anteprima delle pagina web, Svuota cache e Chiudi tutte le finestre di Safari.
Nel caso di Firefox, si dovrà fare clic sul menù Strumenti, Componenti aggiuntivi, individuare e rimuovere Ukash.
In alternativa, è possibile cliccare sul menù Mela quindi scegliere Uscita forzata, Firefox. Riavviando manualmente Firefox in modalità provvisoria (tenere premuto il tasto ALT all’avvio del programma od avviarlo dalla finestra del terminale come indicato qui), si potrà rimuovere l’estensione Ukask.
Su Mac OS X, comunque, non viene sfruttato alcun codice exploit per la diffusione dell’hijacker. Si tratta di codice JavaScript utilizzato per “bloccare” il browser.