Torniamo a parlare di quella che è una delle minacce più pericolose e aggressive degli ultimi anni: i ransomware, detti anche crypto-virus: software dannosi che cifrano o rubano i dati dell’utente e chiedono un riscatto per restituirli. 

Cosa sta cambiando? Come si stanno evolvendo questi virus? Ci sono soluzioni affidabili con cui proteggersi? Non è semplice rispondere a tutte queste domande ma un sistemista, un tecnico o un IT manager oggi deve conoscere bene questo argomento e studiare tutte le possibili strategie per la protezione dei dati, sia all’interno sia all’esterno dell’azienda.

mappa virus by bitdefender

La situazione purtroppo sta peggiorando per quel che riguarda le funzionalità e capacità di questi malware. Le versioni più recenti di ransomware infatti

  • Non limitano più l’attacco ai dischi locali e alle unità di rete mappate, ma sono in grado di cifrare anche tutte le share di cui sono memorizzate o disponibili le credenziali
  • Concedono solo pochi giorni per pagare il riscatto: dopo una settimana o poco più procedono alla cancellazione di tutti i file da remoto
  • Sono in grado di mantenere il funzionamento del sistema e garantire l’accesso ai file finché la cifratura non è terminata, per evitare che l’utente se ne accorga e spenga il computer immediatamente.
  • Sono multipiattaforma: si diffondono dunque non solo su Windows, ma anche su Mac e Linux.

Un’altra pericolosa tendenza che può portare al peggioramento della situazione è la disponibilità persino di kit per la creazione di ransomware da distribuire in autonomia (Ransom32), con una conseguente crescita del numero di persone in grado di sfruttare questa tecnica criminale.

L’altra brutta notizia è la sempre minore efficacia di alcune tecniche di recupero dati finora utilizzate. I “bug” presenti in alcune release iniziali ad esempio di Cryptolocker, che rendevano la vita facile ai crittografi per trovare un modo con cui decifrare i file, sono stati risolti e dunque questa strada spesso non è percorribile. Allo stesso modo i criminali sono sempre più accorti nel cancellare dai loro server tutte le chiavi poco tempo dopo l’attacco, rendendo così vani i tentativi di recupero in seguito a sequestri da parte delle polizie europee e americane.

Come comportarsi se si è stati infettati

Ransom32: la finestra di infezioneAlcune norme di comportamento sono elementari, ma preferiamo ripeterle visto che ci capita sempre più spesso di parlare con sistemisti o presunti esperti che danno consigli ben poco efficaci.

  1. Spegnere immediatamente il computer o i computer infettati e staccarne il cavo di rete
  2. Verificare subito che le share presenti nella rete (server, Nas) non siano state infettate. Se è così scollegarle subito dalla rete e verificare che l’infezione sia limitata solo a quelle cartelle. Spostare i file infetti su un disco esterno e sostituire il contenuto delle share con l’ultimo backup prima di ricollegarle
  3. Verificare che nessun altro PC presente in rete sia infetto
  4. Staccare il disco o i dischi dal PC infetto e collegarli a un computer privo di dati personali e dotato di antivirus aggiornato e tutti gli strumenti del caso per recuperare i file eventualmente non cifrati. Archiviare i file cifrati a parte, perlomeno se non si dispone di un backup aggiornato. Potrebbero essere eventualmente decifrati più avanti qualora si scoprisse qualche falla o se la polizia trovasse le chiavi sui server dei criminali. Se i dischi non possono essere staccati facilmente (ad esempio su alcuni portatili) utilizzare una distribuzione di Linux avviabile
  5. Non pagare il riscatto
  6. Formattare completamente il PC o i PC reinstallando Windows da zero o da una immagine completa di un eventuale backup non contaminato. Ricopiare i documenti aggiornati dall’ultimo backup

Continua: come fare backup efficaci e gli strumenti per bloccare i ransomware

L'autore

Filippo Moriggia

Dopo 10 anni di esperienza nel settore del giornalismo tecnico collaborando con  PC Professionale, Panorama e altre testate del gruppo Mondadori, Filippo Moriggia ha fondato Guru Advisor, il sito italiano di riferimento per professionisti del settore IT, system integrator e managed service provider.
È laureato in Ingegneria delle Telecomunicazioni e svolge attività di libero professionista come consulente presso aziende e studi professionali. Si occupa in particolare di software, virtualizzazione, reti e sicurezza. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1