Tastiera con lucchetto, foto di Massimo Graziani

Proteggersi dai virus informatici Ransomware

WannaCry e i briganti del terzo millennio
di Massimo Graziani

L'infezione denominata WannaCry, quasi globale, è stata possibile perché invece del veicolo tradizionale, email o siti malevoli, il trojan Ransomware, conosciuto come Cryptolocker, è stato attivato sfruttando una falla del sistema operativo di Microsoft, scoperta anni prima dall'NSA (National Security Administration) e non comunicata per tempo, molto probabilmente per sfruttarne le caratteristiche.
In special modo questa falla ha fatto danni su strumentazioni mediche, industriali e sistemi integrati (embedded), dove è difficile o impossibile eseguire gli aggiornamenti di sicurezza del sistema.
I danni provocati dall’infezione WannaCry sono stati enormi, nonostante Microsoft abbia elaborato una patch MS17-010 e avvisato di aggiornare i sistemi a febbraio, e nonostante un ricercatore britannico, Darien Huss, abbia attivato entro le prime 36 ore dall’infezione il kill switch del trojan, registrando il dominio gwea.com a cui il trojan tenta di collegarsi e solo se non riesce, continua ad infettare. E' uscita ora anche la nuova variante, senza sistema di disinnesco, che farà ancora più danni!
Cosa possiamo fare per metterci al riparo da questo tipo di infezioni?

Cosa è un RANSOMWARE

E' un Trojan (simile ad un virus ma lo attiva l’utente), che una volta attivato, cifra e cancella tutti i dati personali del vostro PC, lasciando disponibile solo il file cifrato.
A questo passo, cifra e poi cancella, segue la richiesta di un riscatto in bitcoin, tramite le istruzioni dettagliate che il Cryptolocker lascia all’utente per incassare il riscatto.

WannaCry_Immagine1

Molto spesso, se il PC che esegue il Trojan è connesso in rete, il Cryptolocker cifra l’intera rete visibile dall’utente, e se si tratta di un ufficio importante, con perdite significative di fatturato, per ogni giorno di fermo, conviene sicuramente pagare subito il riscatto, che di solito ammonta a circa 600 euro in bitcoin.
Va sconsigliato però di pagare, proprio per non alimentare questa pratica e diffusione, in quanto si tratta di estorsione vera e propria, anche se digitale.

La Prevenzione

Innanzitutto, il Trojan viene veicolato via email o siti web compromessi, quindi se si fa attenzione si può evitare del tutto l’attacco. Spesso viene inviato con email di richieste di pagamento, con fattura allegata, pagamenti di bollette, note di credito e quanto altro possibile per farvi aprire l’allegato, l’email è talmente ben costruita che è veramente difficile capire che sia una falsa copia, trovate spesso i vostri dati, oppure proviene da un nominativo conosciuto.
Quindi la prima regola è: “Se vi è un file allegato con una delle seguenti estensioni .ZIP .RAR .MSI, .JS e comunque differenti dal .DOC o .PDF”, non aprite l’allegato, ma cestinate il messaggio immediatamente. Eliminate anche l’opzione “Riquadro di lettura” che apre automaticamente l’email. E ripeto attenzione alle estensioni del file allegato, se non vi sentite sicuri, cancellate comunque il file oppure, come dovrebbero avere tutte le aziende serie, preparate un PC proprio per fare questi test.
Il PC in questione deve essere dedicato ai controlli, collegato ad internet ma non alla rete dell’ufficio.
Ogni email sospetta, inviatela (forward) alla casella di posta che avrete creato appositamente, ad esempio, Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., per poi andare sul PC di test, aprire l’email della casella di test, anche con l’allegato, in quel caso anche se ci fosse allegato il Trojan Cryptolocker, non farebbe nessun danno, una volta appurato che l’email è genuina allora la potrete aprire anche nella vostra casella email.
Consiglio di installare un buon antivirus sul PC di test, come il MalwareBytes e successivamente fare una copia completa, per ripristinare il sistema in caso i virus o i trojan lo rendano instabile durante i test. I più smaliziati potrebbero creare una macchina virtuale...
Questo PC di test può essere utilizzato anche se si riceve una chiavetta USB o magari si trova e non si sa chi sia il proprietario o meglio il suo contenuto. Prima di inserirla sui vostri sistemi, testatela con un buon antivirus e controllatene il contenuto sul PC di test.

Soluzione migliore, NAS di rete

WannaCry_qnap

La soluzione migliore, rimane l’utilizzo di un NAS di rete (Network Attached Storage). Abbiamo provato per la Rivista Italiani QNAP, uno dei tanti prodotti disponibili sul mercato. Questo NAS ha un software che permette di effettuare il backup di tutti i file del vostro PC, di conseguenza di tutti i PC dell’ufficio, mantenendo tutte le versioni del file, qualsiasi modifica fate, potete ritrovare quelle precedenti, un po’ come fa la Time Machine del sistema operativo del Mac di casa Apple. L’applicazione si chiama Qsync e permette di tenere il backup sincronizzato, non utilizzando un percorso di rete, ma con un suo protocollo e quindi il Cryptolocker non lo può vedere e cifrare.
A questo punto, qualsiasi cosa succede ai vostri file, foto, documenti, archivi ecc. in ogni caso, cancellazione accidentale, cifratura di Cryptolocker, disintegrazione della galassia... in qualsiasi momento potrete riavere i vostri file.

WannaCry_QsyncDropbox01

Nel caso specifico del Cryptolocker, troverete dentro il cestino di rete del sistema Qsync tutte le cartelle e i file, come erano prima che il trojan li cancellasse. Basterà cliccare con il tasto destro su una cartella: all’opzione Qsync, selezionare “Versioni precedenti” e andare nel cestino.
Il sistema infatti, mentre sincronizza, sposta i file in un cestino virtuale. Selezionateli e cliccate “versione precedente”.
Quindi con una spesa minima, avete risolto tutti i vostri problemi, in caso di incidente, qualsiasi esso sia, la vostra attività non si fermerà, e in caso di utilizzo privato, i vostri amati file non saranno più persi.
E’ possibile attivare anche una copia in Cloud dei vostri backup, in caso di disastro, potrete recuperare tutto, anche se il vostro NAS va distrutto completamente.
Ma cosa fare se il Cryptolocker ha già fatto il suo lavoro e state piangendo dalla disperazione? Niente paura, anche in questo caso esiste una soluzione!

Se il Cryptolocker avesse già fatto danni

Bene prima di tutto staccate il cavo di alimentazione del PC, se avete il timore di aver aperto un allegato erroneamente e vedete le icone cambiare sotto i vostri occhi, l’estensione del file cifrato, automaticamente fa cambiare anche la grafica dell’icona, che nel caso di un documento o di un’immagine, la vedrete cambiare in icona generica, e il file cambiare la sue estensione; se succede staccate immediatamente il cavo di alimentazione o premete a lungo sul tasto di accensione per forzare lo spegnimento del portatile.
Evitate a questo punto di utilizzare il PC perché ogni modifica che apportiamo sul disco, diminuiamo la possibilità di recuperare i file cancellati dal Cryptolocker.
A questo punto ci occorrono due programmi forensi, FTK Imager e F-DAC, due software gratuiti. Il primo vi permette di fare una copia del vostro disco su file .DD, il secondo è un software di carving, termine utilizzato per indicare l’operazione di ricostruzione dei file cancellati.
Sul web trovate molti tutorial in italiano per l’utilizzo di FTK Imager, basta cercare con Google, ovviamente vi servirà un disco USB esterno di pari o maggiore dimensione del vostro disco interno, nel caso il trojan abbia cifrato più dischi o più partizioni, dovrete acquisirle tutte. Consiglio per praticità di creare file immagine di 2Gb.
Su F-DAC dovrete inserire un file alla volta, selezionare poi tutti i file e tutte le tipologie da recuperare e il gioco è fatto.
Addio Cryptolocker!

Acquista il server QNAP TS-453A. Amazon riconoscerà una piccola somma alla Rivista Italiani che verrà utilizzata per coprire i nostri costi redazionali.

Stampa

Italian Media s.r.l. - via del Babuino 107, Roma, c.a.p. 00187, p.IVA 09099241003, edita il settimanale Italiani con registrazione al Tribunale di Roma n. 158/2013 del 25.06.2013 - email: info@italianmedia.eu

NOTA! Questo sito utilizza i cookie e tecnologie simili.
Questo sito usa i cookie per migliorare la tua esperienza d'uso e usa cookie di terze parti. Proseguendo nella navigazione si presta implicitamente il consenso all’utilizzo di questi strumenti. Si rimanda alla nostra privacy policy per maggiori informazioni e per la possibilità di negare il consenso.