Rapidi e letali, i ransomware hanno conquistato la fama di essere tra le tipologie di malware più pericolose (se non la più pericolosa in assoluto) oggi in circolazione. Si diffondono principalmente via posta elettronica, con campagne spam realizzate ad hoc per colpire determinati settori di utenti (professionisti del settore bancario o sanitario, piuttosto che normali internauti) oppure seguendo strade al momento ancora non identificate (come nel caso di Petya, infezione globale che ha colpito diversi settori produttivi nella prima metà del 2017).
A peggiorare ulteriormente la situazione, è l'impossibilità – almeno allo stato attuale – di riuscire ad arrestare l'infezione nelle fasi iniziali della diffusione. A differenza degli altri malware, solitamente bloccati da un antivirus o da uno scanner malware secondario non appena provano a "intrufolarsi" in un sistema informatico, il comportamento dei ransomware è ancora poco prevedibile e individuabile. Se qualcuno dovesse scoprire un metodo su come prevenire i ransomware, arginare la loro diffusione e i loro effetti nefasti sarebbe molto più semplice.
In questo contesto si inserisce ShieldFS, tool di sicurezza informatica messo a punto da un team di ricercatori del Politecnico di Milano e guidato da Stefano Zanero. Lo strumento, presentato in anteprima nel corso di una convention statunitense a Las Vegas, si pone l'obiettivo di intercettare i ransomware prima che possano agire, studiando il loro comportamento nelle primissime fasi dell'infezione e bloccandone l'azione revocando i permessi di lettura e scrittura su disco rigido. Insomma, gli esperti italiani di sicurezza informatica hanno pensato a come prevenire gli effetti del virus del riscatto con risultati – anche se sperimentali – degni di nota.
Che cos'è ShieldFS
Sviluppato nei laboratori del Politecnico di Milano da Stefano Zanero e dal suo team di ricercatori, ShieldFS è un tool di rimozione dei ransowmare unico nel suo genere nell'intero panorama mondiale della sicurezza informatica. Questo strumento, infatti, è una sorta di radar digitale che va alla ricerca di ransomware "in the wild" con l'obiettivo di limitarne la diffusione e bloccarne l'efficacia nelle primissime fasi di vita. Un approccio diametralmente opposto rispetto a quello oggi maggiormente diffuso: non agisce a posteriori con strumenti per lo sblocco dei file crittografati dal ransomware, ma prova a bloccarlo quando ancora non è diventato una minaccia globale.
Come funziona ShieldFS
Per fare ciò, ShieldFS scansiona la Rete alla ricerca di file dal comportamento anomalo e che, in qualche modo, ricorda quello di altri ransomware gà conosciuti. Una volta individuato un programma malevolo, il tool di sicurezza dei ricercatori del Politecnico di Milano ne analizzano ulteriormente il comportamento, così da eliminare ogni eventuale dubbio. A questo punto ne bloccano l'azione limitandone l'accesso ai file presenti sul disco rigido ed eliminandolo. Inoltre, sfruttando un backup recente e sicuro, ShieldFS ripristina i file già crittografati, così che l'utente non perda alcunché e non sia costretto a pagare alcuna forma di riscatto. In caso di falso positivo (un programma "legittimo" bloccato in maniera errata), l'utente potrà aggiungere un'eccezione al motore di scanning di ShieldFS e riprendere dove era stato interrotto senza alcun problema.
Limiti di ShieldFS
Il progetto di ShieldFs nasce e prende forza in seguito all'attacco di WannaCry, che ha bloccato migliaia e migliaia di sistemi informatici in tutto il mondo nel maggio 2017. Pur rappresentando questo un suo punto di forza, è allo stesso tempo una limitazione al suo raggio d'azione. Lo strumento di sicurezza, infatti, è in grado di individuare solamente i ransomware "tradizionali" come CryptoLocker e WannaCry, che scansionano le directory del computer e ne crittografano i contenuti. In caso di attacchi differenti (come Petya, ad esempio), ShieldFS è inefficacie. Per questo motivo il team di Zanero ha intenzione di rendere liberamente scaricabile e utilizzabile il codice sorgente di ShieldFS: in questo modo la community di ricercatori internazionale potrà modificare il software e aumentarne l'efficacia.