Torniamo a parlare di quella che è una delle minacce più pericolose e aggressive degli ultimi anni: i ransomware, detti anche crypto-virus: software dannosi che cifrano o rubano i dati dell’utente e chiedono un riscatto per restituirli.
Cosa sta cambiando? Come si stanno evolvendo questi virus? Ci sono soluzioni affidabili con cui proteggersi? Non è semplice rispondere a tutte queste domande ma un sistemista, un tecnico o un IT manager oggi deve conoscere bene questo argomento e studiare tutte le possibili strategie per la protezione dei dati, sia all’interno sia all’esterno dell’azienda.
La situazione purtroppo sta peggiorando per quel che riguarda le funzionalità e capacità di questi malware. Le versioni più recenti di ransomware infatti
- Non limitano più l’attacco ai dischi locali e alle unità di rete mappate, ma sono in grado di cifrare anche tutte le share di cui sono memorizzate o disponibili le credenziali
- Concedono solo pochi giorni per pagare il riscatto: dopo una settimana o poco più procedono alla cancellazione di tutti i file da remoto
- Sono in grado di mantenere il funzionamento del sistema e garantire l’accesso ai file finché la cifratura non è terminata, per evitare che l’utente se ne accorga e spenga il computer immediatamente.
- Sono multipiattaforma: si diffondono dunque non solo su Windows, ma anche su Mac e Linux.
Un’altra pericolosa tendenza che può portare al peggioramento della situazione è la disponibilità persino di kit per la creazione di ransomware da distribuire in autonomia (Ransom32), con una conseguente crescita del numero di persone in grado di sfruttare questa tecnica criminale.
L’altra brutta notizia è la sempre minore efficacia di alcune tecniche di recupero dati finora utilizzate. I “bug” presenti in alcune release iniziali ad esempio di Cryptolocker, che rendevano la vita facile ai crittografi per trovare un modo con cui decifrare i file, sono stati risolti e dunque questa strada spesso non è percorribile. Allo stesso modo i criminali sono sempre più accorti nel cancellare dai loro server tutte le chiavi poco tempo dopo l’attacco, rendendo così vani i tentativi di recupero in seguito a sequestri da parte delle polizie europee e americane.
Come comportarsi se si è stati infettati
Alcune norme di comportamento sono elementari, ma preferiamo ripeterle visto che ci capita sempre più spesso di parlare con sistemisti o presunti esperti che danno consigli ben poco efficaci.
- Spegnere immediatamente il computer o i computer infettati e staccarne il cavo di rete
- Verificare subito che le share presenti nella rete (server, Nas) non siano state infettate. Se è così scollegarle subito dalla rete e verificare che l’infezione sia limitata solo a quelle cartelle. Spostare i file infetti su un disco esterno e sostituire il contenuto delle share con l’ultimo backup prima di ricollegarle
- Verificare che nessun altro PC presente in rete sia infetto
- Staccare il disco o i dischi dal PC infetto e collegarli a un computer privo di dati personali e dotato di antivirus aggiornato e tutti gli strumenti del caso per recuperare i file eventualmente non cifrati. Archiviare i file cifrati a parte, perlomeno se non si dispone di un backup aggiornato. Potrebbero essere eventualmente decifrati più avanti qualora si scoprisse qualche falla o se la polizia trovasse le chiavi sui server dei criminali. Se i dischi non possono essere staccati facilmente (ad esempio su alcuni portatili) utilizzare una distribuzione di Linux avviabile
- Non pagare il riscatto
- Formattare completamente il PC o i PC reinstallando Windows da zero o da una immagine completa di un eventuale backup non contaminato. Ricopiare i documenti aggiornati dall’ultimo backup
Continua: come fare backup efficaci e gli strumenti per bloccare i ransomware