Difendersi da Ransomware (es. Cryptolocker) Difendersi da Ransomware (es. Cryptolocker)

Sono sempre più frequenti le notizie dei danni causati dal virus, della famiglia dei ransomware, che impedisce l'accesso ai dati chiedendo un riscatto all'utente. L’Italia è tra i paesi più colpiti da questa minaccia e si registrano continui casi di infezione a danno di PC privati come per importanti infrastrutture nel settore privato e nel pubblico, pertanto si ritiene di fare cosa utile nel fornire indicazioni per prevenire tale tipologia di infezione e non perdere i propri dati.

Si rammenta che l'eventuale pagamento del riscatto non fornisce garanzia di alcun tipo circa la consegna delle chiavi utili al ripristino dei dati, ragione per cui si suggerisce di non cedere al ricatto ma di seguire le seguenti pratiche di prevenzione.

 

1) Prestare la massima attenzione ai messaggi di posta elettronica.

Solitamente il malware viene veicolato attraverso email contenenti allegati malevoli e indirizzati ad account di posta di privati ed aziende. Il corpo della mail è preparato ad arte e facendo leva sull'importanza del documento recapitato all'utente, lo invita a scaricare o visualizzare il file proposto che di solito riguarda un fantomatico riscontro su spedizioni, ordini, fatture o bollette.

Al fine di non incappare in questa tipologia di malware è bene verificare, ove possibile, che:

  • il dominio della casella di posta del mittente abbia una corrispondenza con l'entità (azienda, ente, società o persona) scrivente:
  • il nome dell'allegato non termini con un'estensione del tipo: .EXE, .JS, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .PS1, .PS2, REG, .LNK, .INF .DLL, .MSC, .MSI, .HTA, .MSP
  • se il file allegato si riferisce ad un documento Microsoft Office con macro attivata (.DOCM, .DOTM, .XLSM, .PPTM) si consiglia di disabilitare l'esecuzione automatica delle macro e verificare l'attendibilità del documento.

In genere è bene prestare attenzione a tutti i file allegati inclusi in archivi di tipo .ZIP o .RAR poichè potrebbero contenere all'interno altre tipologie di file malevoli.

2) Abilitare la visualizzazioni delle estensioni in Windows.

Nativamente i sistemi operativi Microsoft Windows nascondono le estensioni dei file impedendo all'utente di verificare visivamente la reale natura del documento. In diverse occasioni Cryptolocker ha sfruttato questa impostazione per ingannare l'utente, ragione per cui si consiglia di cambiare le impostazioni di sistema deselezionando la casella di controllo "Nascondi le estensioni per i tipi di file conosciuti" raggiungibile da "Pannello di controllo" -> "Aspetto e personalizzazione" -> "Opzioni cartella".

3) Limitare l'accesso alla risorse di rete.

Alcune varianti di ransomware con componente di cifratura sono in grado di controllare anche le risorse di rete (cartelle condivise sia in lettura sia in scrittura). Il malware, nel caso in cui i permessi utente lo consentano, è in grato di cifrare anche i documenti contenuti nelle cartelle condivise anche se la cartella è fisicamente presente su un altro PC non infetto. Per questo motivo è necessario evitare di rendere permanete il collegamento a cartelle di rete contenenti documenti di vitale importanza.

4) Fare copie di backup periodiche dei dati personali su dispositivi fissi o mobili.

E' preferibile salvare su un hard disk esterno i documenti sensibili, è buona norma collegare l'hard disk su un computer senza accesso alla rete internet e su dispositivi di cui si è certi di non aver precedentemente eseguito azioni che potrebbero aver compromesso il sistema.

Si raccomanda di scollegare sempre il disco esterno non appena concluso il backup e riconnetterlo solo all'occcorrenza, come nel caso di successivi backup o per il ripristino dei dati. Valutare inoltre l'utilizzo di software o dispositivi NAS con funzionalità automatiche di rilascio del disco esterno qualora conclusa l'attività o che predispongano l'inserimento di una password per l'accesso allo storage.

5) Utilizzare un buon sistema antivirus eseguendo regolari e giornalieri aggiornamenti del prodotto.

Si rammenta che la protezione antivirus, regolarmente attiva e funzionante, rimane un valido deterrente limitamente alle minacce note ma non consente di ripristinare dati sottoposti a cifratura.   

6) Mantenere aggiornato tutto il software.

E' buona norma eseguire controlli periodici al fine di verificare l'eventuale rilascio di aggiornamenti di sicurezza del sistema operativo e dei singoli programmi successivamente installati.

7) Se possibile, utilizzare un personal firewall.

Il firewall, nativamente disponibile in molti sistemi operativi, dovrebbe essere configurato in modo da consentire la connessione verso internet solo alle applicazioni strettamente necessarie; così da impedire che eventuali programmi e/o malware possano scaricare autonomamente codice malevolo.

Conclusioni

In generale vale la regola di non eseguire file di dubbia provenienza e di operare sul sistema con privilegi utente limitati, ad ogni modo le indicazioni sopra riportate non possono garantire una protezione completa contro questa tipologia di virus. Si consiglia pertanto di approfondire l'argomento consultando i relativi bollettini pubblicati sul sito www.cert-pa.it dove vengono forniti dettagli sulle campagne di diffusione in corso.

Bollettini di riferimento pubblicati alla data del 30 Giugno 2016:

CERT-PA-B004-150128, CERT-PA-B007-150220, CERT-PA-B008-150224, CERT-PA-B018-150612, CERT-PA-B020-150701, CERT-PA-B024-150804, CERT-PA-B029-150922, CERT-PA-B033-151126, CERT-PA-B034-151204, CERT-PA-B036-151209, CERT-PA-B037-151214, CERT-PA-B001-160105, CERT-PA-B002-160108, CERT-PA-B009-160310, CERT-PA-B011-160407, CERT-PA-B013-160414, CERT-PA-B015-160601, CERT-PA-B018-160628, CERT-PA-B019-160630.

_____________________

NoMoreRansom!
Forze di polizia e importanti aziende private hanno cooperato alla realizzazione di un portale, consultabile all'indirizzo www.nomoreransom.org, per informare sui pericoli associati alla minaccia, fornire risorse utili per la prevenzione ed aiutare le vittime a recuperare i loro dati senza pagare il riscatto.

Nella sezione "Decryption Tools" del portale sono disponibili alcuni strumenti per tentare il ripristino di contenuti cifrati dai ransomware: WildFile, Chimera, Teslacrypt, Shade, CoinVault, Rannoh, Rakhini.

Tramite "Crypto Sheriff", analizzando un file tra quelli cifrati, l'utente può individuare quale famiglia di ransomware ha infettato il computer cifrando i dati. Prima dell'utilizzo degli strumenti messi a disposizione sul portale è necessario leggere le guide di utilizzo.

Inoltre il sito "No More Ransom" offre alle vittime di un attacchi ransomware la possibilità di denunciare l'accaduto, connettendosi direttamente con le forze di polizia Europee preposte alla lotta contro il cybercrime.

 

Approfondimenti:
  1. Ransomware su Wikipedia
  2. Configurare Windows firewall
  3. Informazioni sulle impostazioni di Windows Firewall
  4. Consentire a un programma di comunicare attraverso Windows Firewall