Sei in Home - Windows


Ransomware

Malware termine generico per definire: virus, worm, trojan, spyware, rootkit, adware, keylogger, ransomware, etc..

Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. (by wikipedia)

Questi ultimi sono dei malware "mutanti" e hanno un periodo di incubazione brevissimo. Usano sistemi di crittografia molto sofisticati.

La nuova generazione di Ransomware sono trasparenti a moltissimi firewall anche di ultima generazione e " rinominano i file sequestrati".

I sistemi Mac OS X, sono vittime di un nuovo ransomware dal nome KeRanger.

Nei sistemi Android sono, generalmente, più a rischio infezione malware i dispositivi più vecchi e quelli che, generalmente, non usano il Play Store per scaricare app.

Il meccanismo di contagio di un ransomware parte, generalmente, da un allegato contenuto in una e-mail fasulla.

Diffidate di file allegati alle mail con nomi tipo "fattura_non_pagata.zip" o "cartella_esattoriale_equitalia.doc". Sono falsi messaggi e ti invitano ad aprire l'allegato o premere su un link.

punto esclamativoRicordate che la vostra banca, ufficio pubblico, polizia, etc. non chiedono di visualizzare un allegato.

punto esclamativo Inoltre non cliccate Mai sui link della mail.

In genere basterebbe analizzare il link della mail per scoprire che ti rinviano a un sito che non corrisponde a quello ufficiale dell'intestazione della mail stessa.

tasto menu gmailProvate a premere sulla freccetta rovesciata (Gmail) della mail, come in figura, e cercate "mostra originale". Scoprirete il vero mittente e il destinatario reale.

La prima strategia difensiva a questi attacchi è la prevenzione: fate una copie di backup dei dati giornaliera. Il backup dovrebbe essere fatto su un disco USB separato dal computer da inserire e staccare ogni giorno e ad ogni backup.

punto esclamativoPoi ricordiamoci che i sistemi Windows non mostrano di default "le estensioni dei file" e i ransomware sono dei file eseguibili (.exe). Un allegato ransomware verrebbe visualizzato come  nomefile.pdf o nomefile.doc, etc. inducendo gli utenti ad aprirlo e quindi ad eseguirlo. Se avete attivato le estensioni dei file Il suo vero nome sarebbe nomefile.pdf.exe.

Attivare la visualizzazione dell'estensione dei file (per visualizzare l'estensione dei file: premere su una cartella o file > premere su menu visualizza (in alto su windows 10) > togliere spunta a "estensione nomi file". In windows 7 > pannello di controllo > visualizza per (in alto a destra): Icone piccole > opzioni cartelle > scheda visualizzazione > togliere spunta a: nascondi le estensioni per i file...).

Quando viene eseguito per la prima volta, il ransomware si installa in Utenti o nella cartella Documents and Settings con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico.

Le più diffuse varianti di “ramsonware”: CryptoLocker, TeslaCrypt e CoinVault sono senza dubbio i tre malware maggiormente noti per aggressività.

Articoli di approfondimento

Microsoft: ransomware e soluzioni (microsoft safety scanner).

Norton interessanti suggerimenti.

ilsoftware.it

Test sulle tue conoscenze informatiche (by kaspersky)



Infezione ...

Se si sospetta un'infezione da ransomware la rimozione immediata del malware, prima del completamento della cifratura (impiega del tempo), può ridurre la perdita di dati ma non risolve il problema.

In caso di infezione:

- scollegate immediatamente il cavo di rete (per non infettare altri computer)

- non riavviate il computer (ad ogni riavvio i malware procedono a crittografare file con una chiave diversa)

- non usare la modalità provvisoria (a volte viene installato anche un trojan che agisce anche in questa modalità)

- Rivolgetevi immediatamente ad un tecnico o centro specializzato. Altrimenti spegnete il computer e apritelo per scollegare l'Hard Disk. Quindi estraetelo e usatelo come se fosse un HD esterno. Provate in questo modo a recuperare i file.

Come trovare il computer infettato in rete:

  • Il Computer infettato contiene files con estensione .encrypted
  • Se i file su server NAS/SAN sono infetti, verificare l’ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati.

Se l’audit NAS/SAN è abilitato,  controllare i registri di log per sapere quale utente sta crittografando i file.

Isolare la sorgente che esegue la crittografia cercando poi quali utenti/aree aziendali hanno accesso alle condivisioni.


Programmi

I programmi più noti per la protezione dai ransomware:

Malwarebytes anti-exploit (specifico per tutelarsi dalle falle di varie app) e Malwarebytes anti ransomware (agisce in aggiunta al vostro antivirus. Non richiede configurazione e rimane attivo bloccando diversi tipi di ransomware).

Norton Power Eraser è uno strumento gratuito che puoi utilizzare per eseguire una scansione del tuo computer e ripulirlo da qualsiasi forma di malware, sia esso ransomware o solo fastidiose pubblicità pop-up che appaiono misteriosamente (by symantec).

Anvi Rescue Disk: non recupera i file criptati e non previene l'infezione ma elimina i ransomware presenti. E' un file .ISO e quindi va masterizzato su un CD/DVD. Premere su Scan per analisi disco e poi una volta completata la scansione clicca su Fix Now per rimuovere le minacce rilevate. Ora andare nella scheda Repair e cliccare su Scan. Dopo, per risolvere i problemi rilevati, cliccare su Repair. Una volta riparati tutti i problemi, chiudere Anvi Rescue Disk (se venisse richiesto di installare Anvi Smart Defender rispondi di NO).

updateTeslaDecrypt (cerca di recuperare i file criptati dal ransomware TeslaCrypt), Kasperskylab CoinVault Decryptor (cerca di recuperare file criptati dal ransomware CoinVault: uno dei migliori) e Petya Ransomware (articolo di Kaspersky)

Inoltre:

Jadacyrus (un hacker che ha predisposto un tool di emergenza.Il kit in questione mette a disposizione una serie di strumenti per il recupero dei dati compromessi dalle più diffuse varianti di ramsonware).

Vir.it eXplore Pro (ditta italiana, molto interessante).

Bitdefender AntiCrypttowall

 

Aggiornato: 31 Maggio, 2016


diversi-schermi XHTML 1.1 valid css valid eXTReMe Tracker