Ransomware, come proteggersi? È una domanda che tutti i professionisti IT si sono fatti in questi ultimi tempi, di fronte al dilagare della più diffusa minaccia del cybercrime. Per quei pochi che ancora non lo sapessero, il ransomware è un tipo di malware capace di ruba i file e chiedere alle vittime, in cambio della restituzione, il pagamento di un riscatto (in inglese ransome, da qui il nome del malware). Una variante diffusissima del ransomware sono i temutissimi cryptolocker, che crittografano i file rendendoli di fatto inutilizzabili e chiedendo, in cambio delle chiavi di decrittazione, un riscatto. L’Italia è senza dubbio tra i paesi più colpiti da questa minaccia e si registrano continui casi di infezione a danno di PC privati come per importanti infrastrutture nel settore privato e nel pubblico. Dunque, come si fa a proteggersi dai ransomware? Qui di seguito una lista di alcune regole base che tutti quanti noi dovremmo seguire.
Indice degli argomenti
1) Prestare la massima attenzione ai messaggi di posta elettronica.
Il ransomware nella grande maggioranza dei casi arriva come allegato di una mail, quasi sempre proveniente da indirizzi che un utente medio può reputare sicuri e fidati (aziende elettriche, compagnie telefoniche, spedizionieri, agenzie di riscossione) ma che in realtà si tratta quasi sempre di indirizzi falsi usati come specchietto per le allodole, come spiega Adoc, l’associazione difesa orientamento consumatori. È infatti estremamente raro che comunicazioni importanti, comprensive di allegati, arrivino via email da aziende note. Pertanto in questi casi, occorre non cedere alla tentazione e non aprire in alcun modo l’allegato presente nella mail. In un secondo momento si potrà contattare telefonicamente la società in questione per appurare la veridicità del messaggio. Ulteriore accortezze permettono di comprendere se ci si trovi o meno di fronte a un ransomware. Ad esempio controllare che il dominio della casella di posta del mittente abbia una corrispondenza con l’entità (azienda, ente, società o persona). Inoltre bisogna verificare che il nome dell’allegato non termini con un’estensione del tipo: .EXE, .JS, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .PS1, .PS2, REG, .LNK, .INF .DLL, .MSC, .MSI, .HTA, .MSP, classiche dei ransomware. Se invece il file allegato si riferisce a un documento Microsoft Office con macro attivata (.DOCM, .DOTM, .XLSM, .PPTM) il consiglio è quello di disabilitare l’esecuzione automatica delle macro e verificare l’attendibilità del documento. In genere è bene prestare attenzione a tutti i file allegati inclusi in archivi di tipo .ZIP o .RAR perchè potrebbero contenere all’interno altre tipologie di file malevoli ( ransomware come proteggersi ).
2) Abilitare la visualizzazione delle estensioni in Windows.
Nativamente i sistemi operativi Microsoft Windows nascondono le estensioni dei file impedendo all’utente di verificare visivamente la reale natura del documento. In diverse occasioni Cryptolocker ha sfruttato questa impostazione per ingannare l’utente, ragione per cui l’Agid consiglia di cambiare le impostazioni di sistema deselezionando la casella di controllo “Nascondi le estensioni per i tipi di file conosciuti” raggiungibile da “Pannello di controllo” -> “Aspetto e personalizzazione” -> “Opzioni cartella”.
3) Limitare l’accesso alla risorse di rete.
Alcune varianti di ransomware con componente di cifratura sono in grado di controllare anche le risorse di rete (cartelle condivise sia in lettura sia in scrittura). Il malware, nel caso in cui i permessi utente lo consentano, è in grato di cifrare anche i documenti contenuti nelle cartelle condivise anche se la cartella è fisicamente presente su un altro PC non infetto. Per questo motivo è necessario evitare di rendere permanente il collegamento a cartelle di rete contenenti documenti di vitale importanza ( ransomware come proteggersi ) .
4) Fare copie di backup periodiche dei dati personali su dispositivi fissi o mobili.
In generale, per proteggersi da qualsiasi cyber attacco, è necessario installare un antivirus aggiornato non solo sul pc, ma anche su tablet e smartphone. Anche se, va detto, virus di questa tipologia si aggiornano continuamente, con nuove varianti che spesso non vengono individuate da alcun antivirus. Ragione per cui è sempre meglio prevenire che curare, facendo il backup dei dati, che rimane la misura più utile per proteggersi dal ransomware. Tutti i file indispensabili per l’attività aziendale devono essere salvati su un disco esterno senza accesso alla rete, che va staccato dal pc una volta completato il backup, in modo da evitare un eventuale “contagio”. Così, nel malaugurato caso in cui il computer fosse colpito dal virus, si può tranquillamente riformattare il disco rigido e poi ricaricare i dati salvati col backup. È possibile, inoltre, valutare l’utilizzo di software o dispositivi NAS con funzionalità automatiche di rilascio del disco esterno qualora conclusa l’attività o che predispongano l’inserimento di una password per l’accesso allo storage.
5) Mantenere aggiornato tutto il software.
È ovviamente buona norma eseguire controlli periodici al fine di verificare l’eventuale rilascio di aggiornamenti di sicurezza del sistema operativo e dei singoli programmi successivamente installati. Un’accortezza di questo tipo, ad esempio, sarebbe stata da sola sufficiente a evitare il dilagare di Wannacry nella scorsa primavera.
6) Se possibile, utilizzare un personal firewall.
Il firewall, nativamente disponibile in molti sistemi operativi, dovrebbe essere configurato in modo da consentire la connessione verso internet solo alle applicazioni strettamente necessarie; così da impedire che eventuali programmi e/o malware possano scaricare autonomamente codice malevolo.
7) Cosa fare in caso di avvenuta infezione
La prima azione da fare è quella di spegnere immediatamente il computer, se necessario staccando anche la spina di alimentazione. I ransomware, infatti, sono progettati per agire molto rapidamente. Lo spegnimento aumenta notevolmente la possibilità di recuperare i file in un secondo momento e, contemporaneamente, riduce il numero di dati che vengono crittografati. Ovviamente non bisogna autonomamente riavviare il computer, poiché ad ogni riavvio il virus continua a crittografare i file, estendendo l’entità del danno. Un’altra mossa obbligatoria per proteggersi dal ransomare, è rimuovere tutti i dispositivi USB connessi al sistema (ad es. pennette, hard disk, ecc…), altrimenti anche questi dispositivi verranno infettati. A maggior ragione, se il computer infettato è connesso in rete ad altri computer o server, occorre staccare immediatamente il cavo di rete e spegnere tutti gli altri computer/server della rete. Altrimenti il virus si propagherà immediatamente a tutti i computer connessi, moltiplicando esponenzialmente il danno dell’infezione.
8) Cosa fare per recuperare i file
Il primo suggerimento è quello di non cedere all’odioso ricatto del cybercrime e, dunque, non pagare il riscatto, anche se il pagamento in sé, come insegna la giurisprudenza, non può essere qualificato come reato. Il punto è che non esiste nessuna certezza che i cybercriminali restituiscano i file rubati o inviino la chiave di cifratura. I tempi infatti dei cybercriminali con un codice d’onore sono infatti finiti da un pezzo. Non solo: pagando il riscatto (in genere la valuta richiesta è il Bitcoin) non si fa altro che incoraggiare e foraggiare l’attività dei cybercriminali. Che dunque, in futuro, potrebbero tornare a colpirvi con nuove e più potenti minacce. Occorre poi considerare che non sempre tutto è perduto: di non pochi cryptolocker si conosce la chiave di cifratura, dunque non di rado è possibile recuperare i file semplicemente affidandosi a un tecnico esperto, come si può leggere in questo articolo.