Ransomware: i virus che criptano i dati e ti ricattano! – Seconda parte
Oggi torniamo a parlarvi di Ransomware, i temuti virus che criptano i dischi. Se vi siete persi la prima parte potete leggerla a questo indirizzo:
I sintomi
Nel post precedente avevamo sottolineato che molto spesso ci si accorge di essere caduti vittima di questi virus quando oramai i danni sono molto ingenti e tutti (o buona parte) dei dati sono irrimediabilmente criptati. Può accadere ad esempio, che di punto in bianco lo sfondo del desktop non sia quello che abitualmente abbiamo davanti agli occhi, ma che diventi completamente nero con vistose scritte di colore rosse o gialle che ti avvertono che i tuoi file sono stati criptati o il tuo computer è stato bloccato.
Nella realtà un minimo d’attenzione ed un po’ di consapevolezza nei confronti del fenomeno possono aiutare a contenere anche di molto i danni. Molto spesso infatti, gli utenti cascati vittima di questi malware, riportano di aver notato alcune anomalie già parecchio tempo prima. Agire per tempo con i dovuti accorgimenti può fare la differenza tra tutti i file criptati o solo una piccola parte.
Un infezione in corso manifesta alcuni sintomi, talora molto espliciti e che lasciano pochi dubbi, altri più sottili e che richiedono verifiche ulteriori. Ecco quindi alcuni importanti campanelli d’allarme.
- I file non si aprono o risultano corrotti. Questo è il re di tutti i sintomi ed anche il più evidente. Verificate immediatamente a campione, tre le vostre immagini e foto o tra i vostri documenti e accertatevi se si tratta di un caso isolato o di qualcosa di più esteso. Se molti file risultano non più accessibili, la diagnosi è quasi certamente confermata.
- Lo sfondo del desktop è scomparso. Non sempre appare un messaggio esplicito che vi segnala che i file sono stati criptati. O meglio non è detto che appaia immediatamente. Talvolta sparisce l’immagine che normalmente abbiamo sullo sfondo. La spiegazione potrebbe essere legata al fatto che l’immagine che avevate come sfondo sia stata criptata.
- Alcuni programmi hanno comportamenti bizzarri o non si avviano. Non bisogna immaginare grandi malfunzionamenti. Piccole cose che cessano di funzionare o che danno strani errori. Inoltre alcuni ransomware inibiscono completamente il funzionamento di importanti strumenti di analisi come il Task Manager, il prompt dei comandi, l’editor del registro di sistema o i software di monitoraggio della rete.
- Intensa attività dell’Hard Disk. Sintomo molto indicativo, soprattutto quando non si stanno eseguendo operazioni che giustificano grosse attività. E’ possibile verificarlo alttraverso l’indicatore luminoso sul cabinet del proprio computer.
- Intensa attività della rete. Quanto detto al punto precedente è valido anche per la rete. Va ricordato infatti che i ransomware più evoluti sono in grado di estendere la loro attività rapidamente anche alle risorse di rete. I fileserver o i NAS ad esempio sono i primi ad essere esposti dopo la propria postazione
Come comportarsi in caso di infezione
E’ lecito domandarsi a questo punto che cosa fare in caso di infezione. A causa dell’elevato numero di versioni di ransomware in circolazione non esiste un modo specifico, ma ci sono alcune operazioni di carattere generale che possono andare bene nella maggioranza dei casi. Le operazioni da eseguire possono non essere sempre alla portata di tutti quindi suggeriamo di non avventurarsi se non si è sicuri di ciò che si fa. In questo caso ci si limiti a spegnere immediatamente il computer e contattare qualcuno che vi possa assistere.
Se avete già un antivirus installato è buona idea eseguire da subito un aggiornamento delle firme del database. Questo è un aspetto molto importante poichè gli antivirus più efficienti eseguono subito dopo l’aggiornamento una scansione della memoria operativa con buone probabilità che già in questa fase il problema possa risolversi. Se così non fosse spegnete immediatamente il PC.
A questo punto da un computer pulito e sicuro ed in aggiunta a quanto già detto, scaricate su una pen drive alcuni tools utili alla vostra causa come Combofix o Malwarebyte per aumentare le probabilità di individuare del malware ed una copia di ccleaner per la rimozione dei file temporanei.
E’ possibile anche utilizzare soluzioni più pulite e sicure che prevendono l’impiego di strumenti di pulizia indipendenti basati su CD/DVD/USB come ad esempio ESET SYSRESCUE LIVE che una volta avviati hanno il grande vantaggio di lavorare in un ambiente autonomo dal sistema operativo ma avendo accesso completo al disco e tutti i suoi file. Questi sistemi tendono ad essere particolarmente adatti in tutti i quei casi dove una pulizia del sistema in condizioni normali è impossibile.
Non ho un backup, come recupero i file criptati ?
E’ bene fare da subito chiarezza: le tecniche e il tipo di crittografia utilizzata fanno si che il recupero dei file criptati è possibile solo in pochi casi e ben circoscritti. Se avete individuato il tipo di ransomware nella quale siete incappati potreste verificare se è possibile decriptare i file. Ad oggi infatti è esistono appositi tools di decriptazione e/o servizi a pagamento per le seguenti varianti:
CryptoXXX / TeslaCrypt / CoinVault / CryptoDefense / Cryptorbit / PClock / TorrentLocker / Randamant
Se invece il vostro caso non rientra in quelli sopracitati potreste verificare l’esistenza delle cosiddette shadows copy. Si tratta di copie nascoste di file gestite autonomamente dal sistema operativo. E’ importante però sottolineare che è il metodo con meno successo poichè le versioni più avanzate di ransomware sono in grado di disattivare questa funzione. Vale comunque la pena verificarne l’esistenza attraverso dei strumenti ad hoc quali ShadowExplorer oppure Shadow Copy Viewer.
Vogliamo spendere due parole anche sulla questione del pagamento del riscatto, che in molti valutano anche in considerazione delle cifre (non esose) richieste. Noi sconsigliamo il pagamento per 2 ordini di motivi ben precisi:
- non c’è sempre garanzia che tutto vada per il meglio. I vostri dati potrebbero essere restituiti oppure no.
- pagando si finanzia indirettamente questo mercato illegale permettendogli di crescere e proliferare.
Come prevenire evitando di diventare una vittima
Lo diceva anche un famoso slogan pubblicitario: prevenire è meglio che curare e potete stare sicuri che è proprio così che stanno le cose. Che siate privati cittadini o un azienda c’è sempre da perdere e talvolta anche in modo pesante. Potreste dire addio a tutti i vostri più cari ricordi oppure al corposo archivio di file che ruotano intorno al lavoro aziendale. Ecco di seguito i nostri suggerimenti per ridurre al minimo i rischi.
- Prestate attenzione alla mail che ricevete. La posta elettronica è lo strumento di elezione per veicolare questo tipo di malware grazie a delle campagne ad hoc di phising e social engineering. Diffidate delle mail non attese contenenti bollette elettriche e/o telefoniche, soprattutto se non sono del proprio operatore, così come quelle legate ai corrieri espressi. Nel dubbio verificate i link alla quale i collegamenti portano. Così come è meglio tenersi alla larga dalle mail provenienti da se stessi oppure da quelle provenienti da persone conosciute ma con testo in inglese o in in un pessimo italiano.
- Fate backup offline regolarmente. Fare backup è sempre stata una cosa di primaria importanza. Con questo tipo di malware in circolazione lo diventa ancora di più. Salvate con regolarità una copia dei vostri file su dispositivi esterni (dischi, chiavette, nastri) e conservateli disconnessi dal computer. Nel caso si dovesse cadere vittima di un ransomware il danno sarebbe minimo.
- Sistemi operativi e programmi sempre aggiornati. Assicuratevi che il vostro sistema riceva regolarmente le patch di sicurezza e che lo stesso valga per i programmi installati. Un sistema non aggiornato è potenzialmente vulnerabile.
- Dotatevi di un suite per la sicurezza. E’ la più importante delle prerogative per chi voglia ridurre al minimo i rischi. Un prodotto completo di antivirus, antiphising, antirootkit e antistealth in grado di intercettare le minacce più diffuse e pericolose che circolano sul web con tempestivita e precisione. Contattateci per un consulto in merito.