Gli attacchi via ransomware potrebbero avere i giorni contati seguendo un approccio diverso da quello degli antivirus classici. Questa è la convinzione di un quartetto di ricercatori dell’Università della Florida e dell’Università cattolica di Villanova in Pennsylvania che ha elaborato, grazie a uno studio parzialmente finanziato dalla National Science Foundation, un sistema matematico in grado di stoppare i ransomware prima della cifratura dei file bersaglio.
Ransomware da 5 mila dollari e Cryptodrop
I ransomware, è bene ricordarlo, sono dei virus in grado di infettare il computer ospite e di cifrare i file in esso contenuti con una chiave crittografica nota solo all’attaccante che per decifrare i file chiede il pagamento di un riscatto.
Un problema molto serio per singoli utenti e aziende di ogni calibro, visto che il riscatto, dai 300 ai 700 dollari, può arrivare a 16 bitcoin o 5 mila dollari per computer come nel caso della minaccia conosciuta come “7ev3n-HONE$T”.
Cryptodrop, questo il nome della soluzione anti-ransomware dei ricercatori, è stato presentato a un simposio scientifico alcune settimane fa in Giappone e funzionerebbe come Cryptostalker, un software inizialmente pensato solo per Linux, in grado di individuare il “rapimento” dei file mentre accade.
Una serie di indicatori matematici è infatti in grado di dire al prototipo, finora testato solo su Windows, se il computer sta modificando un elevato numero di file, bloccando l’intero processo e salvaguardando la stragrande maggioranza dei file del computer sotto attacco.
Cryptodrop quindi non rimuove né decritta i file sequestrati, ma blocca il ransomware.
Il suo funzionamento si basa su di un approccio datacentrico che punta a minimizzare le perdite basandosi sulla capacità di individuare il comportamento delle varie tipologie di ransomware che modificano i file, li aprono, li cifrano, li rinominano e e li spostano all’interno dello stesso disco in una diversa directory e con un nome diverso. Quando alcuni degli indicatori di tali comportamenti compaiono insieme Cryptodrop lancia un avvertimento e blocca le operazioni in corso. A quel punto dovrebbe essere sufficiente lanciare un buon antivirus e mettere in quarantena o eliminare il virus.
Il sistema è stato testato su 492 varianti di ransomware e ha funzionato nel 100% dei casi con una perdita di file pari al 0.2% del totale.
Anche Cryptodrop può sbagliare
L’unico problema sarebbero i falsi positivi: Cryptodrop non è in grado attualmente di capire se la cifratura dei file sia opera del loro legittimo utilizzatore o di un software sgradito. Essendo poco diffusa l’abitudine di cifrare i propri file il problema è tuttavia considerato secondario, ma Cryptodrop potrebbe entrare in funzione anche se si lanciasse PGP o GPG per cifrare il set di dati da allegare a un’email.
