ottobre 10, 2013
K-LOVE & KISSES 2014 – Terza parte: un’ulteriore ragione per amare KIS 2014
“La gente deve staccarsi dal denaro. Ha bisogno di essere moralmente vulnerabile, la necessità di possedere beni materiali deve essere asfissiata“.
Una citazione degna di Don Draper di “Mad Men”; in realtà è di Ostap Bender, personaggio mitico della letteratura russa degli anni trenta. E no, non ha nulla a che vedere con Bender di Futurama!
Sembra strano, ma Ostap Bender sapeva un bel po’ di cose sul capitalismo, nonostante fosse un personaggio letterario nato in un paese comunista. Mmmm, interessante…
Comunque sia egli sapeva bene che, se manipolate nella maniera giusta, a volte le persone riescono a staccarsi dal proprio denaro.
Tornando ai tempi di oggi, ci sono tanti modi per abbindolare la gente ed estorcere soldi, soprattutto in un mondo ipertecnologico e cibernetico come quello moderno. Molte persone sborsano fior di quattrini dietro la minaccia di un blocker (alias ransomware), una truffa digitale davvero insidiosa. Ma non abbiate paura, utenti di Kaspersky Lab: nell’ultima versione di KIS, abbiamo implementato una nuova funzionalità (un’autentica sorpresa) che non aspetta altro che mettere i bastoni tra le ruote ai blocker e ai relativi “blockhead”, gli ideatori di questa truffa meschina.
L’idea e le tecnologie alla base dei blocker/ransowmare sono piuttosto semplici.
In vari modi (ad esempio attraverso una vulnerabilità di un software), un programma maligno riesce a insinuarsi nel computer, per poi mostrare all’utente una schermata niente affatto piacevole, contenente un messaggio piuttosto preoccupante (non se avete KIS 2014), che bloccherà il desktop e le finestre di tutti gli altri programmi.
Lo sblocco è possibile soltanto (o meglio era possibile, poi capirete perché) digitando un codice unico che, ovviamente, solo i cybercriminali che hanno infettato il computer posseggono. Per ricevere questo codice è necessario pagare una certa somma, o attraverso l’invio di SMS a numeri Premium, o mediante altri sistemi di pagamento online. Fino a quando non viene pagato questo riscatto, il computer rimane “sotto sequestro”. Non importa quali combinazioni di tasti digitiate (neanche Ctrl+Alt+Canc funziona) o quale programma tentiate di aprire (antivirus compresi), rimarrà sempre la stessa schermata (ve la proponiamo in inglese):
O questa (per i nostri amici francesi)
O questa (per i nostri amici tedeschi)
O questa (per i nostri amici finlandesi)
O questa (per i nostri amici russi)
Ci sono migliaia di tante altre schermate simili a queste e per qualsiasi piattaforma, comprese Windows e Mac.
Molti anni fa, in Russia e nei paesi dell’ex Unione Sovietica, i blocker erano una vera e propria epidemia; si è cominciato quindi a ricercare e ad arrestare i blockhead responsabili dei sequestri dei dispositivi. Nella migliore delle ipotesi, nel 2010 grazie a questa truffa i cybercriminali sono riusciti a racimolare ben 3 milioni di dollari (nella peggiore delle ipotesi le stime arrivano anche a 15 milioni), e decine di milioni di persone ne sono state vittima! Solo il 5% delle vittime ha pagato il riscatto agli estorsori (che non sono altro che delle facce di bronzo amanti della bella vita e che guadagnano a scapito degli altri inventandosi ogni volta nuovi stratagemmi).
Durante il picco dell’epidemia abbiamo rilasciato un deblocker gratuito, app disponibile sia per dispositivi mobili che come web service. Una volta inserito il numero di telefono o l’account dell’estorsore, il deblocker generava un codice di sblocco, una sorta di un amico a cui chiedere soccorso. Penserete quindi che, grazie a questa soluzione, il problema dei blocker sia stato risolto; in realtà non è così, anzi, i blockehead sono diventati più aggressivi…
È vero che, a giudicare dal numero di visite al nostro web service di deblocker, il numero totale di scam si è ridotto a un decimo rispetto al passato, MA… il problema sembra essersi aggravato. Ora vi spieghiamo perché:
Uno: un fenomeno un tempo limitato alla Russia post sovietica si è ora diffuso a livello globale (così come gli SMS a numeri Premium e gli e-money). I cyber-blockead della Russia post- sovietica riuscivano a nascondersi dalla giustizia grazie alla particolare situazione politica internazionale.
Due: un tempo i blocker erano onesti (?), e dopo il pagamento del riscatto il banner veniva effettivamente rimosso dallo schermo (per poi sottoporre l’utente alla stessa trafila in un’altra occasione). Al giorno d’oggi non esiste più questo codice d’onore, e i banner imprigionano i dispositivi anche dopo che l’utente ha ceduto al ricatto. E ciò dipende non solo dal fatto che i blockhead sono più spietati: di fatto, nei blocker non esistono più codici da poter sbloccare, perciò i deblocker sono diventati inutili. Questo sì che è un duro colpo!
Cosa si può fare allora?
Innanzitutto, a parte rare eccezioni, esiste sempre la possibilità di eliminare chirurgicamente il problema e di rimuovere manualmente i blocker mediante alcune utility gratuite, nel caso un buon antivirus riesca a superare l’attacco. Capite bene, se date uno sguardo all’ultimo link proposto, che tale intervento “chirurgico” non è facile da eseguire, e c’è bisogno dell’aiuto di un esperto IT, per questo meglio scartare l’idea.
Soprattutto perché ora in KIS 2014 c’è una funzionalità che risolve il problema una volta per tutte e consente all’utente di rimuovere un blocker utilizzando solo quattro dita, ripetiamo solo quattro dita! (o tre, ma usate più volte!)Niente chirurgia. Nessun specialista. E poi, come ciliegina sulla torta, senza nessuna eccezione.
Come?
Ve lo spieghiamo subito:
Da un paio d’anni ormai per KIS esiste la funzionalità Tastiera Virtuale, un driver del sistema operativo capace di proteggere il computer dai keylogger. Anche se un Trojan inespugnabile che ha infettato il nostro dispositivo cerca, ad esempio, d’intercettare le password che abbiamo digitato, in realtà non otterrà nulla perché la password è stata digitata sulla Tastiera Virtuale che il Trojan non riesce a individuare. Ebbene, abbiamo utilizzato questa funzionalità per contrastare blockhead e blocker…
La Tastiera Virtuale evita che i blocker possano prendere il controllo della tastiera. Se l’utente digita la combinazione Ctrl+Alt+Shift+F4 (oppure Ctrl+Alt+Canc), la Tastiera Virtuale capisce che l’utente si trova in una situazione d’emergenza e invia a KIS 2014 il comando per avviare la procedura di disattivazione del blocker. O, per essere più precisi, vari componenti dell’antivirus (signature e calcoli euristici) individuano l’infezione, eseguono una pulizia dei processi attivi e dei registri di sistema e sbloccano lo schermo. Così ora è possibile eliminare ciò che rimane dei blocker mediante gli strumenti standard del nostro antivirus, riavviare il codice eseguibile .exe, ripristinare il tasto Start (o qualunque altra funzione che adesso lo sostituisca) e tornare al desktop originale. Il caso ha voluto che l’applicazione pratica del nostro brevetto riguardante la disattivazione dei blocker sia ora all’esame di alcuni esperti.
Nota conclusiva
Quest’estate, un ragazzo americano di 21 anni è caduto nella trappola di un blocker. Gli è apparsa la seguente schermata:
Alla fine è stato lui a finire in manette. La polizia, infatti, ha scoperto che il computer conteneva materiale pedopornografico. In fin dei conti ognuno ha quel che si merita.