«

»

Nov 25

Virus ransomware come difendersi e recuperare i dati

ransomwareI virus ransomware come dice la parola sono una nuova tipologia di malware che invece di distruggere i vostri files li prende in ostaggio, nel senso che li cripta con una chiave di codifica forte (rendendoli quindi inaccessibili) e vi chiede un riscatto (in denaro, in bitcoin, altro…) per rilasciarvi la chiave di decodifica che è in possesso del creatore del virus.

I primi esempi di questa tipologia di virus erano di origine russa ma ormai si sono diffusi a livello mondiale, vediamo come mitigare questi malware.

 

Ovviamente la cosa migliore è NON pagare mai !

Sia per evitare truffe (infatti alcuni utenti pur pagando non hanno MAI ricevuto la chiave di decodifica !) che per disincentivare questo tipo di attacchi, fino a quando qualcuno paga state certi che i creatori di questi virus continueranno a svilupparne di nuovi, diversi e sempre più sofisticati.

Come proteggersi quindi da questi nuovi attacchi ?

Partiamo con le cose ovvie :

  • dotate tutte le vostre macchine di un buon antivirus e tenetelo aggiornato, programmate una scansione periodica dei dischi locali
  • fate i backup dei vostri dati e conservateli offline su un supporto rimovibile (chiavetta usb, disco esterno, nastro, ecc…); un backup su un Nas o su un disco di rete non va bene, se il virus riesce a criptare anche i files in rete oltre a quelli locali non avrete una copia valida dei vostri files ! se salvate su Nas o in rete salvate un’immagine completa del vostro disco con programmi tipo TrueImage, Ghost, Backupper, ecc..
  • evitate comportamenti pericolosi su Internet (siti inappropriati, click su banner pubblicitari, download di files strani, ecc…)
  • diffidate sempre dei contenuti di emails che vi sembrano anomale (mittente sconosciuto, link all’interno delle emails, italiano sgrammaticato nel testo, files allegati con macro, ecc…)
  • installate solo programmi certi scaricati dal sito originale del produttore software, nel dubbio scansionateli prima con servizi come http://www.virustotal.com o simili

Se venite infettati da un ransomware vedrete a video un messaggio con la richiesta del riscatto (di solito scritto in inglese, ma a volte anche in italiano), non troverete più i vostri files di dati (normalmente quando sono criptati cambiano estensione) e avrete sparsi sul disco anche altri files di testo o html che contengono le istruzioni per pagare il riscatto, una videata di attacco da ransomware potrebbe essere simile a questa (prendetela solo come esempio perchè ci sono centinaia di varianti diverse di ransomware !) :

ransomware01

Nel malaugurato caso foste infettati la prima cosa da fare è spegnere la macchina e toglierla dalla rete in modo che non possa continuare a criptare i vostri dati e a scaricare altro codice ostile da Internet.

A questo punto scollegate il disco interno e collegatelo ad altro pc “sano” (con un adattatore Usb / Sata o simile) per la rimozione del virus e per capire quale tipologia di ransomware vi ha attaccato, quindi cercate nella vostra cartella di dati i files che sono presenti e vedete se hanno cambiato estensione, per esempio :

C:\DOCUMENTI\BOLLA.DOC

potrebbe essere diventato :

C:\DOCUMENTI\BOLLA.DOC.CRYPT
(l’estensione aggiuntiva varia con il tipo di ransomware….)

Il prossimo passo è capire con quale tipo di ransomware abbiamo a che fare, infatti di alcuni di questi virus è stata trovata la chiave universale di decodifica che vi permetterà di recuperare i vostri dati : diversi produttori di antivirus li hanno analizzati e di alcuni è stato possibile capire il malfunzionamento o la chiave usata per codificare i files.

Collegatevi a questo sito e fate un upload di uno dei vostri files criptati (nel nostro esempio BOLLA.DOC.CRYPT) :

https://id-ransomware.malwarehunterteam.com/

basta premere il pulsante SFOGLIA sotto la voce SAMPLE ENCRYPTED FILE, selezionare il nostro file dal disco e premere il bottone UPLOAD per spedire al sito web il nostro file criptato.

Dopo pochi secondi avremo la risposta dell’analisi del tipo di ransomware che ci ha attaccati, il suo nome e se è disponibile o no un programma per decriptare il file, se siamo fortunati avremo una risposta come questa :

ransomware02

quindi nel nostro caso siamo stati attaccati dal ransomware TeslaCrypt di cui è già stata trovata la chiave universale di decodifica, basta quindi seguire il link CLICK HERE per essere portati sul sito del produttore di antivirus o di sicurezza per avere maggiori informazioni e per scaricare il programma di decodifica, nell’esempio specifico saremo rimandati al sito di bleepingcomputer.com che si occupa di sicurezza e nella pagina troveremo anche il link per scaricare il programma di decodifica dei nostri files e le istruzioni per l’uso.

Se invece siete sfortunati e il ransomware è nuovo e non identificato oppure se viene identificato ma non esiste un programma per decriptare i dati, non vi resterà che recuperare i vostri files di dati dal backup, e mi raccomando non usate più il disco infetto fino a quando non siete assolutamente sicuri di aver rimosso ogni traccia del virus ransomware o vi ritroverete dopo pochi giorni nelle stesse condizioni.

 

Un altro sito web simile che vi permette di capire il tipo di ransomware oltre a fornirvi i programmi per decriptare e tantissime informazioni su questa odiosa tipologia di virus è quello messo a punto dall’Europol insieme alla polizia olandese che si trova qui :

https://www.nomoreransom.org/

come detto anche qui sarà possibile controllare che tipo di ransomware ci ha attaccato facendo l’upload di 2 files di dati criptati e del file di testo che richiede il riscatto, il tutto si fa da questa pagina con una procedura praticamente simile a quella che abbiamo appena descritto sopra :

https://www.nomoreransom.org/crypto-sheriff.php

 

Per maggiori informazioni sui ransomware potete anche controllare i siti web dei produttori di antivirus che mettono a disposizione (quando possibile) dei programmi gratuiti per la decodifica, eccone alcuni  :

https://noransom.kaspersky.com/

https://decrypter.emsisoft.com/

http://www.mcafee.com/us/downloads/free-tools/index.aspx

https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

http://www.talosintelligence.com/teslacrypt_tool/

http://www.bleepingcomputer.com/virus-removal/

http://www.avg.com/us-en/ransomware-decryption-tools

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>