Torniamo a parlare di quella che è una delle minacce più pericolose e aggressive degli ultimi anni: i ransomware, detti anche crypto-virus: software dannosi che cifrano o rubano i dati dell’utente e chiedono un riscatto per restituirli. 

Cosa sta cambiando? Come si stanno evolvendo questi virus? Ci sono soluzioni affidabili con cui proteggersi? Non è semplice rispondere a tutte queste domande ma un sistemista, un tecnico o un IT manager oggi deve conoscere bene questo argomento e studiare tutte le possibili strategie per la protezione dei dati, sia all’interno sia all’esterno dell’azienda.

mappa virus by bitdefender

La situazione purtroppo sta peggiorando per quel che riguarda le funzionalità e capacità di questi malware. Le versioni più recenti di ransomware infatti

  • Non limitano più l’attacco ai dischi locali e alle unità di rete mappate, ma sono in grado di cifrare anche tutte le share di cui sono memorizzate o disponibili le credenziali
  • Concedono solo pochi giorni per pagare il riscatto: dopo una settimana o poco più procedono alla cancellazione di tutti i file da remoto
  • Sono in grado di mantenere il funzionamento del sistema e garantire l’accesso ai file finché la cifratura non è terminata, per evitare che l’utente se ne accorga e spenga il computer immediatamente.
  • Sono multipiattaforma: si diffondono dunque non solo su Windows, ma anche su Mac e Linux.

Un’altra pericolosa tendenza che può portare al peggioramento della situazione è la disponibilità persino di kit per la creazione di ransomware da distribuire in autonomia (Ransom32), con una conseguente crescita del numero di persone in grado di sfruttare questa tecnica criminale.

L’altra brutta notizia è la sempre minore efficacia di alcune tecniche di recupero dati finora utilizzate. I “bug” presenti in alcune release iniziali ad esempio di Cryptolocker, che rendevano la vita facile ai crittografi per trovare un modo con cui decifrare i file, sono stati risolti e dunque questa strada spesso non è percorribile. Allo stesso modo i criminali sono sempre più accorti nel cancellare dai loro server tutte le chiavi poco tempo dopo l’attacco, rendendo così vani i tentativi di recupero in seguito a sequestri da parte delle polizie europee e americane.

Come comportarsi se si è stati infettati

Ransom32: la finestra di infezioneAlcune norme di comportamento sono elementari, ma preferiamo ripeterle visto che ci capita sempre più spesso di parlare con sistemisti o presunti esperti che danno consigli ben poco efficaci.

  1. Spegnere immediatamente il computer o i computer infettati e staccarne il cavo di rete
  2. Verificare subito che le share presenti nella rete (server, Nas) non siano state infettate. Se è così scollegarle subito dalla rete e verificare che l’infezione sia limitata solo a quelle cartelle. Spostare i file infetti su un disco esterno e sostituire il contenuto delle share con l’ultimo backup prima di ricollegarle
  3. Verificare che nessun altro PC presente in rete sia infetto
  4. Staccare il disco o i dischi dal PC infetto e collegarli a un computer privo di dati personali e dotato di antivirus aggiornato e tutti gli strumenti del caso per recuperare i file eventualmente non cifrati. Archiviare i file cifrati a parte, perlomeno se non si dispone di un backup aggiornato. Potrebbero essere eventualmente decifrati più avanti qualora si scoprisse qualche falla o se la polizia trovasse le chiavi sui server dei criminali. Se i dischi non possono essere staccati facilmente (ad esempio su alcuni portatili) utilizzare una distribuzione di Linux avviabile
  5. Non pagare il riscatto
  6. Formattare completamente il PC o i PC reinstallando Windows da zero o da una immagine completa di un eventuale backup non contaminato. Ricopiare i documenti aggiornati dall’ultimo backup

Continua: come fare backup efficaci e gli strumenti per bloccare i ransomware

L'autore

Filippo Moriggia

Dopo 10 anni di esperienza nel settore del giornalismo tecnico collaborando con  PC Professionale, Panorama e altre testate del gruppo Mondadori, Filippo Moriggia ha fondato Guru Advisor, il sito italiano di riferimento per professionisti del settore IT, system integrator e managed service provider.
È laureato in Ingegneria delle Telecomunicazioni e svolge attività di libero professionista come consulente presso aziende e studi professionali. Si occupa in particolare di software, virtualizzazione, reti e sicurezza. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

Don't be Evil è uno slogan interno di Google, ideato da due dipendenti Paul Buccheit e Amit Patel, nell'ottica di...

>

ZOPE è l'acronimo di Z Object Publishing Environment e indica un Web Server open source sviluppato in Python, che permette agli...

>

Il termine Bezel descrive l'involucro esterno (o scocca) di un computer, monitor o di un qualsiasi dispositivo di calcolo. La valutazione...

>

Il termine Random Forest è un costrutto utilizzato nell'ambito della Intelligenza Artificiale e al machine learning. Nello specifico si tratta di...

>

La cifratura (o crittografia) RSA è una tecnica di cifratura dati detta "a chiave pubblica" e sviluppata dalla RSA Data...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1