Blog

Ransomware: come difendersi

3-2-1-backup

Cos’è un Ransomware

Un Ransomware è un tipo di minaccia che impedisce l’accesso ai dati memorizzati sul proprio sistema informatico. Obbliga l’utente a pagare per decifrare e ottenere accesso ai propri dati.

Di solito i file sono criptati con una chiave privata che viene distrutta se il pagamento non viene eseguito entro un intervallo di tempo di alcune ore o se il malware si accorge che sono stati intrapresi dei tentativi di recuperare i dati in modo alternativo rispetto alle istruzioni comunicate.

Come già spiegato in un altro articolo la distruzione della chiave rende i dati assolutamente inaccessibili!!

I nostri dati sono così importanti che la loro indisponibilità, anche per poche ore, mette in seria crisi l’attività operativa personale ed aziendale. Tuttavia pagare non assicura la possibilità di ottenere i propri dati: ci sono casi in cui alcuni utenti pur avendo pagato non sono riusciti a recuperare i propri dati o una parte di questi era stata comunque eliminata. Inoltre pagando non si fa altro che contribuire ad alimentare un business criminale.

jigsaw-ransomware

Come arriva sui nostri sistemi

Solitamente il ransomware arriva attraverso il download della minaccia via Internet a causa di

  • email di spam con pericolosi allegati
  • annunci pubblicitari ingannevoli (banner, popups o altri ads)
  • pagine web di siti che sono stati manomessi
  • dischi rimovibili ed altri media infetti
  • vulnerabilità nei programmi (browser non aggiornati, sistema operativo od altri software datati o senza patch di sicurezza, plugin multimediali per visualizzare video non aggiornati)

Come mai gli antivirus non riescono a bloccarli una volta per tutte?

Purtroppo ogni volta che viene immessa una nuova variante di ransomware essa viene preventivamente testata con tutti gli antivirus in commercio, ed eventualmente modificata in modo da non essere riconosciuta.
Una versione zero-day non sarà riconosciuta da nessun antivirus fintanto che non venga segnalata a qualche virus lab che poi lo analizzerà e prenderà le necessarie contromisure.
A questo punto dovendo scegliere a quale antivirus affidarsi, forse è meglio scegliere un prodotto con grande diffusione (come i 230 milioni di installazioni di Avast) dove ogni installazione è come un sensore che può captare le nuove minacce prima degli altri antivirus e quindi predisporre più in fretta le contromisure.

cryptowall

Come ci si accorge di essere stati infettati?

I ransomware sono di vario tipo: Cryptolocker, Cryptowall, Threat Finder, Jigsaw, FBI Moneypak, ecc…

Ognuno di essi adotta un differente approccio per spingere l’utente a pagare, spesso usando la piattaforma Bitcoin, con cifre che vanno da poche centinaia di dollari/euro a migliaia di dollari/euro.

Alcuni, come Jigsaw, aumentano il prezzo man mano che passa il tempo e ogni ora cancellano una parte dei dati per costringere l’utente a pagare!!

Altre volte si presentano come software AntiVirus o AntiMalware o come messaggio di un’autorità come la Polizia postale o l’FBI con un allegato che viene presentato come attendibile: attenzione a non aprire mai questo tipo di mail o gli allegati in esse contenuti.

Possiamo riconoscere tre livelli di gravità:

  1. Bassa pericolosità (scareware): si tratta di antivirus fasulli che pretendono di individuare virus e malware e segnalano la presenza  di svariati problemi che possono essere risolti pagando.
  2. Media pericolosità (browser/screen locking ransomware): si tratta di messaggi fasulli che indicano di aver individuato delle attività illegali sul computer e richidono un pagamento per evitare la segnalazione alle autorità competenti.
  3. Alta pericolosità (encripting ransomware): si tratta di un messaggio che avvisa che i file del computer sono stati criptati e richiede il pagamento entro una certa data per tornare ad accedervi.
threatfinder

Perché usano BitCoin?

BitCoin è una moneta elettronica che si è rapidamente affermata e viene scelta per vari motivi:

  • Non richiede alcuna registrazione con alcuna autorità finanziaria
  • Il denaro BitCoin può essere facilmente trasformato in moneta reale ed è semplice da nascondere e riciclare
  • Non richiede informazioni personali agli utenti
  • Le transazioni sono progettate per essere irreversibili
ciptolocker

Ci sono altre minacce di questo tipo all’orizzonte?

Purtroppo tecnologie come SaaS (Software as a Service) e IaaS (Infrastructure as a Service) hanno ispirato una nuova minaccia: RaaS (Ransomware as a Service).

Si tratta di una piattaforma per creare un Ransomware messa a disposizione di nuovi hacker che non dispongono di una propria infrastruttura  e di conoscenze tecniche troppo elevate, ma che specificando alcuni parametri (account BitCoin, motivo di creazione della minaccia e un tempo per il countdown) creano rapidamente un eseguibile contenente il Ransomware pronto all’uso.

FBI-virus

Precauzioni generali

Ecco alcune delle cose che si possono fare per proteggersi attraverso la prevenzione:

  • Definire politiche di prevenzione attraverso un uso consapevole degli strumenti informatici
  • Usare profili di accesso con limitazioni per prevenire l’installazione di programmi potenzialmente pericolosi
  • Usare e mantenere aggiornati AntiVirus e AntiMalware
  • Impostare dei filtri antispam che eliminano messaggi con allegati pericolosi (.exe, .zip)
  • Visualizzare le estensioni dei file (p. es. un .PDF potrebbe nascondere un .EXE)
  • Mantenere aggiornati sia il sistema operativo che il browser ed altri software di uso comune (PDF reader, Skype, plugin per browser, ecc…)
  • Usare software o sistemi informatici molto vecchi e superati
  • Usare un firewall
  • Avere una chiara strategia per il backup dei dati e la gestione della sicurezza informatica
FBI-Virus-2

Cosa fare se si sospetta un’infezione Ransomware?

Se si sospetta un’infezione da Ransomware, disconnettere immediatamente il cavo della rete ethernet, disabilitare la rete WiFi e spegnere il computer. Contattare un esperto IT in grado di fare dei controlli più accurati. Disconnettere anche dalla rete eventuali sistemi di storage per evitare che l’infezione si diffonda anche su questi ultimi.

Le procedure che un professionista può fare in questi casi sono le seguenti:

  • analizzare i file di backup da un sistema non infetto per assicurarsi che l’ultimo backup sia integro
  • avviare una scansione approfondita con un antivirus, ad esempio Avast, ed un malware removal tool, ad esempio MalwareByte, per rimuovere ogni traccia del malware dal sistema
  • Se il backup è pulito sarà possibile ripristinare il proprio sistema in pochi minuti

E se non si dispone di un backup?

Purtroppo in questi casi l’unica soluzione per rientrare in possesso dei propri file è pagare!! Tuttavia si sconsiglia vivamente di farlo per varie ragioni:

  • Non c’è la certezza di ottenere l’accesso ai propri dati
  • Si finanzia un’organizzazione criminale che avrà nuove risorse per continuare la propia attività
  • Il proprio sistema viene esposto a potenziali nuovi attacchi da parte dello stesso malware o di altri
ctb-locker

Ecco come mitigare il rischio mediante un Backup

La soluzione che presentiamo si chiama 3-2-1 Backup Rule ed è applicabile mediante il software NovaBACKUP.

3 copie dei dati

2 differenti formati

1 copia salvata off-site

Per mettere in pratica questa tecnica è necessario seguire queste sempli regole:

  • Realizzare backup dell’intero sistema (system image) eventualmente restorabile su hardware differente (System Image Boot Disk)
  • Realizzare copie multiple in locazioni differenti: una su NAS locale, una su dispositivi removibili ed una su sistemi cloud
  • Usare per il backup sistemi di storage connessi solo durante le operazioni di backup mediante autenticazione ad hoc (non mappati nel sistema)
3-2-1-backup

Perchè scegliere NovaBACKUP?

Flessibilità - Indipendenza - Velocità - Supporto

NovaBACKUP offre tutta la flessibilità di cui hai bisogno per salvare i tuoi dati dove vuoi, come vuoi e quando vuoi.

NovaBACKUP ti offre la massima indipendenza: non ci sono limiti sui drive e sui tipi di file.

NovaBACKUP è velocissimo sia nelle attività di backup che restore.

NovaBACKUP ti offre tutto il supporto di cui hai bisogno per salvaguardare i tuoi dati.

 

Per maggiori informazioni scarica il documento Protection-Against-CryptoLocker messo a punto dal nostro partner Novastor.

@mauroaiuto

Leave a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

* prova ad inserire nuovamente il codice