Ransomware - Babaiaga informatica per principianti

strega con scopa
Informatica per principianti
Babaiaga
prova
Vai ai contenuti

Ransomware

Windows > Sicurezza

Malware termine generico per definire: virus, worm, trojan, spyware, rootkit, adware, keylogger, ransomware, etc.

danni dei ransomware

Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. (by wikipedia)

Pratica
pagare per sbloccare

I ransomware sono dei malware "mutanti" e hanno un periodo di incubazione brevissimo. Usano sistemi di crittografia molto sofisticati.

La nuova generazione di Ransomware sono trasparenti a moltissimi firewall anche di ultima generazione e " rinominano i file sequestrati".

I sistemi Mac OS X, sono vittime di un nuovo ransomware dal nome KeRanger.

Nei sistemi Android sono, generalmente, più a rischio infezione malware i dispositivi più vecchi e quelli che, generalmente,  non usano il  Play Store per scaricare app.

Il meccanismo di contagio di un ransomware parte, generalmente, da un allegato contenuto in una e-mail fasulla.

Diffidate di file allegati alle mail con nomi tipo "fattura_non_pagata.zip" o "cartella_esattoriale_equitalia.doc". Sono falsi messaggi e ti invitano ad aprire l'allegato o premere su un link.

punto esclamativoRicordate che la vostra banca,  ufficio pubblico,   polizia, etc. non chiedono di visualizzare un allegato.
Inoltre  non cliccate Mai  sui link della mail.

In genere basterebbe analizzare il link della mail per scoprire che ti rinviano a un sito che non corrisponde a quello ufficiale dell'intestazione della mail stessa.

freccia in basso Provate a premere sulla freccetta rovesciata (Gmail)  della mail, come in figura, e cercate  "mostra originale".  Scoprirete il vero mittente e il destinatario reale.

La prima strategia difensiva  a questi attacchi è la prevenzione: fate una copie di backup  dei dati  giornaliera. Il backup dovrebbe essere fatto su un disco USB separato dal computer da inserire e staccare ogni giorno e ad ogni backup.

Poi ricordiamoci che i  sistemi Windows non mostrano di default "le estensioni dei file" e i ransomware sono dei file eseguibili (.exe).
Un allegato ransomware verrebbe visualizzato come  nomefile.pdf o nomefile.doc, etc. inducendo gli utenti ad aprirlo e quindi ad eseguirlo. Se avete attivato le estensioni dei file Il suo vero nome sarebbe nomefile.pdf.exe.

punto esclamativo Attivare la visualizzazione dell'estensione dei file (per visualizzare l'estensione dei file: premere su una cartella o file > premere su menu visualizza (in alto su windows 10)  > togliere spunta a "estensione nomi file". In windows 7 > pannello di controllo > visualizza per (in alto a destra): Icone piccole > opzioni cartelle > scheda visualizzazione > togliere spunta a: nascondi le estensioni per i file...).

Quando viene eseguito per la prima volta, il ransomware si installa in Utenti o nella cartella Documents and Settings con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico.    

Le più diffuse varianti di “ramsonware”: CryptoLocker, TeslaCrypt e CoinVault sono senza dubbio i tre malware maggiormente noti per aggressività.

Articoli di approfondimento

Microsoft: ransomware e  soluzioni (microsoft safety scanner).
Norton interessanti suggerimenti ma in inglese
Test sulle tue conoscenze informatiche (by kaspersky)

Infezione ...

Se si sospetta un'infezione da ransomware la rimozione immediata del malware, prima del completamento della cifratura (impiega del tempo), può  ridurre la perdita di dati ma  non risolve  il problema.

In caso di infezione:

- scollegate immediatamente il cavo di rete (per non infettare altri computer)
- non riavviate il computer (ad ogni riavvio i malware procedono a crittografare file con una chiave diversa)
- non usare la modalità provvisoria (a volte viene installato anche un trojan che agisce anche in questa modalità)
- Rivolgetevi immediatamente ad un tecnico o centro specializzato. Altrimenti spegnete il computer e apritelo per scollegare l'Hard Disk. Quindi estraetelo e usatelo come se fosse un HD esterno. Provate in questo modo a recuperare i file.

Come trovare il computer infettato in rete:

  • Il Computer infettato contiene files con estensione .encrypted
  • Se i file su server NAS/SAN sono infetti, verificare l’ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati.

Se l’audit NAS/SAN è abilitato,  controllare i registri di log per sapere quale utente sta crittografando i file.

Isolare la sorgente che esegue la crittografia cercando poi quali utenti/aree aziendali hanno accesso alle condivisioni.

ricatto con pistola
software con mouse
Programmi

I programmi più noti per la protezione dai ransomware:      

Malwarebytes anti-exploit (specifico per tutelarsi dalle falle di varie app) è parte integrante di Malwarebytes for Windows.

Norton Power Eraser è uno strumento gratuito che puoi utilizzare per eseguire una scansione del tuo computer e ripulirlo da qualsiasi forma di malware, sia esso ransomware o solo fastidiose pubblicità pop-up che appaiono misteriosamente (by symantec).

Anvi Rescue Disk: non recupera i file criptati e non previene l'infezione ma elimina i ransomware presenti. E' un file .ISO e quindi va masterizzato su un CD/DVD. Premere su Scan per analisi disco e poi una volta completata la scansione clicca su Fix Now per rimuovere le minacce rilevate. Ora andare nella scheda Repair e cliccare su Scan. Dopo, per risolvere i problemi rilevati, cliccare su Repair. Una volta riparati tutti i problemi, chiudere
Anvi Rescue Disk (se venisse richiesto di installare Anvi Smart Defender rispondi di NO).

TeslaDecrypt (cerca di recuperare i file criptati dal ransomware TeslaCrypt, ottimo articolo by ilsoftware),
Kasperskylab CoinVault Decryptor (cerca di recuperare file criptati dal ransomware CoinVault: uno dei migliori),
Petya Ransomware (articolo by Kaspersky)

Inoltre:

Jadacyrus (un hacker che ha predisposto un tool di emergenza.Il kit in questione mette a disposizione una serie di strumenti per il recupero dei dati compromessi dalle più diffuse varianti di ramsonware).

Vir.it eXplore Pro (ditta italiana, molto interessante).      


Non tutti sanno che ...

Il wi fi è ostacolato da diversi fattori.

I muri di casa e la distanza incidono notevolmente sulla potenza del segnale.

Torna ai contenuti