Ramsonware – Cryptolocker – Come proteggersi
Ramsonware Cryptolocker Virus
Che cosa sono
I Ramsonware virus o cryptolocker virus sono ultima piaga della rete. In questi giorni è in atto un’altra ondata di questo virus con delle varianti nuove e più pericolose, i danni sono gli stessi dei precedenti, ma ora è più difficile recuperare i dati anche dagli hardisks removibili.
Cosa fanno
Appena entra nel sistema rastrella tutti i file dell’hardisk e tutte le memorie di massa collegate e cripta tutti i documenti, doc word, xls excel, pdf, txt, rtf, pdf, immagini di ogni tipo e anche dwg cad e tutti documenti contenenti testo e immagini fatti con i più svariati programmi il tutto, il tutto in pochissimi secondi, rinominandoli e sostituendo l’estensione. Un messaggio appare sullo schermo e in ogni cartella contenente i files criptati chiedendo un pagamento (ramson=riscatto) per riportare i documenti allo stato originale. Le schermate di avvertimento e istruzioni per il pagamento cambiano a seconda della variante del virus.
|
Nelle istruzioni più dettagliate che si trovano nelle cartelle il creatore del virus chiede di scaricare e installare il Tor Browser, di andare in pagine nella Deep Web ed effettuare il pagamento per ottenere il decriptatore dei files, cosa che ovviamente sconsiglio nel modo più assoluto. Questa operazione è da escludere per diversi motivi ve ne do qualche cenno 1) Non è detto che lo troviate in quanto il virus potrebbe essere circolante da anni e il creatore in carcere.
2) Anche se lo trovate potrebbe prendere i soldi e ignorarvi 3) Se non vi ignora potrebbe alzare la posta 4) Durante il contatto potrebbe carpire molti vostri dati sensibili e ricattarvi in seguito con un furti di identità … ecc ecc.
Come eliminare il virus
Vi son diversi modi per togliere il virus ed è la prima cosa da fare, tutte le procedure successive sarebbero inutili. Fra tutti i programmi che sono in rete da usare subito per togliere il virus in modo free ed efficiente sono: Malwarebytes, Norton Power Eraser o anche Combofix che sono specifici proprio per questo tipo di virus, dopo, consiglio anche un passaggio di Junkware Removal Tool, AdwCleaner e per finire RKill. Lo so sembra un po’ esagerato ma la prudenza non è mai troppa, inoltre sono molto piccoli e sempre aggiornati. Naturalmente queste ultimi programmi sono necessari visto che il vostro antivirus non c’è, oppure non ha funzionato a dovere, e purtroppo sono molti i software antivirus anche a pagamento che non sono in grado di bloccare questo tipo di virus.
Come recuperare i files
Una volta eliminato il virus non rimane che fare la conta dei danni e verificare se è possibile decriptare i files. Questo purtroppo è lo scoglio più duro e non è detto che si possa superare a meno che il vostro sistema non si trovi in determinate condizioni e che il virus non sia una delle varianti più aggressive.
In molti casi si può accedere ai punti di ripristino del sistema utilizzando determinati programmi che ne mostrano il contenuto per cartelle permettendo il ripristino di intere cartelle o di singoli o gruppi di files.
Le versioni più aggressive del virus cancellano i punti di ripristino del sistema e nella maggior parte dei casi queste operazioni non funzionano con i removibili dove generlmente si disattiva la creazione di punti di ripristino, se fossero presenti consiglio allora ShadowExplorer che permette proprio di navigare nei punti di ripristino e scegliere quale cartelle ripristinare invece di fare un ripristino completo del sistema. Attenzione su Windows 10 la creazione di punti di ripristino è disabilitate per default all’installazione (quindi va abilitata).
|
La creazione dei punti di ripristino andrebbe abilitata su tutto anche sulle chiavette a discapito purtroppo di un po’ di spazio in termini di gigabyte tuttavia non è solo questa l’unica precauzione da adottare, anche perché come ho già detto alcune varianti dei Ramnsonware proprio in previsioni di questa possibilità di recupero, cancellano i file di ripristino e allora le cose si fanno complicate e si deve per forza adottare altre misure e programmi come Recuva o PhotoRec che controllano i file cancellati sulle memorie di massa permettendo il recupero, ma questa opzione non è completamente risolutiva e non totale, nel senso che non tutti i file possono essere recuperabili e nel caso di una enorme mole di file i file recuperati da Recuva (o simili) non rispetta sempre i nomi e vi potreste trovare una cartella di file recuperati del tipo 00001 00002 ecc ecc ….. Sostanzialmente l’unica vera arma contro questo tipo di virus è la prevenzione.
Esistono comunque dei siti web che rilasciano le cosidette “key” o codici di decriptazione dei file dei virus non recenti ma “scardinati” da cyberpolice e consulenti che mettono a disposizione anche le tool per la decriptazione scaricabili da web, queste chiavi sono rintracciabili in base al tipo di estensione che viene creata dal virus sul file documento che ci troviamo sul pc.
Alcuni siti web che contengono decrypter tools per le varianti in circolazione.
— www.nomoreransom.org/decryption-tools.html
— http://www.bleeping..ecurity/jigsaw-ransomware-..
— decrypter.emsisoft.com/
— http://www.bleepingcomputer.com/ne…………-the-ransom/
— www.bleepingcomputer.com/new….nsomware-released-by-emsisoft/
— noransom.kaspersky.com/
— www.bleepingcomputer…….for-cryptxxx-ransomware/
— http://www.thewindo…..are-decryptor-tools
— e per trovarli sempre aggiornati.
Prevenzione, cosa fare per non essere vulnerabili ai ramsonware
Come ho già scritto la migliore arma per questo tipo di virus è la prevenzione e farsi delle copie di backup di tutti i file importanti periodicamente, ma quali sono i sistemi migliori?
Non ci sono sistemi migliori o peggiori ci sono solo metodi che prevedono da una parte una spesa maggiore crescente in termini di hardware e conoscenze informatiche sempre più avanzate.
Cercherò di elencare i metodi dal più semplice e meno costoso al più elaborato e dispendioso fermo restando che il più costoso, installato da una azienda specializzata è ovviamente tra i più semplici, ma ovviamente sto parlando di aziende che hanno reale necessità di fare backup massicci di dati e importanti come potrebbe essere uno studio commerciale con centinaia di clienti o una sede di una pubblica amministrazione con centinaia di postazioni in rete. All’inizio del punto metterò una valutazione del costo in euro e della difficoltà decrescente da 0 a10.
1) (Costo 0 – Difficoltà 0) Il più semplice e a costo zero è ovviamente avere enorme cautela nella gestione delle email. MAI CLICCARE SU LINK SOSPETTI DI MITTENTI SCONOSCIUTI, e anche se dovesse capitare che proprio la vostra banca vi mandi un messaggio cominciando da “Gentile Cliente”, sospettare immediatamente, la vostra banca come ebay o il vostro corriere vi conosce, e non spedirà mai un email che inizia con GENTILE CLIENTE, ma con il vostro nome e cognome, ma supponiamo anche che una email spedita da un vostro amico o cliente o ente possa inserire il vostro nome e cognome prima leggete e poi prima di cliccare osservate dove punta il link. ecco un esempio: è stato sufficiente solo passarci sopra il mouse senza cliccare che in basso a sinistra si vede benissimo dal link che non è affatto whatsupp che è in fatti https://www.whatsapp.com, ma qualcosa di veramente sconosciuto, nel migliore dei casi probabilmente punta ad un sito porno, quasi sicuramente una pagina web piena di script velocissimi che rilascerebbero nella cache del mio browser un virus, un malware o un troyan o un ramson virus. Fate in modo che diventi un abitudine, non costa niente in termini di tempo.
|
E se ci riuscite fate un bello sforzo e abbandonate una volta per tutte, l’uso di client di posta come outlook e thunderbird o altri programmi che per default fin dalla installazione scaricano tutto appena aperti, a meno che non siate in grado di impostarli in modo avanzato, in modo che non scarichino messaggi, ma solo intestazioni e men che mai gli allegati in modo automatico.
Personalmente uso POPeeper un email notifier che controlla i miei account e mi fa vedere solo mittente e oggetto un doppio clic per vedere il corpo del messaggio lasciando in standby ogni tipo di allegati anche le immagini (come si vede nella foto)
2) (Costo circa 30 – Difficoltà 0)
Cominciamo a spendere qualche euro, oltre che gli accorgimenti del punto 1 invece che di anvirus free munitevi di sistemi di sicurezza a pagamento, pacchetti antivirus che possono partire da 29 euro per 3 pc come per esempio Webroot che fornisce una protezione anche dai Ramnson Virus. Questo antivirus particolare, aggiorna le sue definizioni in cloud e può serenamente convivere anche con un altro antivirus già installato come Avast o Ad-Aware Free Antivirus. Questo antivirus insieme al malwarebytes e ad un altro antivirus free, costituiscono un bel muro per i ramson virus tuttavia fidarsi e bene non fidarsi è meglio.
3) (Costo 30 +20 – Difficoltà 1)
Al costo dell’antivirus aggiungiamo quello di una pendrive da 64Gb (anche da 32 dipende dalla quantità di dati) da usare solo in modalità backup. Da usare quindi solo per fare una copia completa dei dati importanti sul nostro pc e stop da non porta re in giro e da togliere dal pc e mettere nel cassetto appena fatte le copie. A meno di non fare tutto manualmente, nel caso in cui i nostri file si trovino nei posti più disparati dell’hardisk e di un removibile sempre collegato, consiglio l’uso di due programmi specifici a) USB Disk Ejector che permette di vedere ed espellere in una frazione di secondo qualsiasi memoria di massa collegata al pc e Cobian Backup Gravity che permette di pianificare copie di files o di intere cartelle in modo automatico anche in modalità compressa, in automatico o manuale senza fare null’altro.
Una volta pianificati le orgini e le destinazioni basta un clic e fa tutto da solo e soprattutto anche in modo incrementale, ciò vuol dire che eccettuata la prima volta, la copia dei file, che possono anche superare diversi Gigabyte, in seconda copia l’operazione può durare anche solo pochi secondi in quanto aggiorna solo i files aggiornati. Su questo programma ci sarebbe da fare un articolo apposta solo per lui, per ora basti sapere che è molto efficiente, flessibile con molte opzioni e abbastanza facile da usare.
|
Quindi, una volta settato a dovere cobian, inserire la chiavetta, far partire il task di cobian backup, chiudere cobian, espellere la chiavetta, fatto!!!. se lo fate tutte le sere, oppure ogni volta prima di spegnere il pc non perderete mai i vostri dati e dentro un cassetto non possono essere vulnerabili a nessun tipo di virus.
4) (Costo 30 +60 – Difficoltà 1-3)
Se le dimensioni dei nostri backup fossero un po’ più grandi delle dimensioni di una pendrive da 64Gb allora è necessario acquistare un hardisk removibile supplementare almeno da un Terabyte
ma da usare sempre nella stessa modalità backup e mai come un spazio a disposizione da usare per riversarci sopra film e quant’altro vi venga in mente la tentazione è forte e l’abitudine a tenerlo collegato farà si che i vostri backup saranno infettati da eventuale virus, se non lo considerate solo un contenitori da collegare al pc solo per dati importanti e documenti di lavoro e preziosi.
Un hardisk Usb slim da 2.5” costa intorno alle 60 euro ed è auto alimentato quindi si comporta ne più ne meno che come una pendrive con una differenza che è un congegno meccanico ed è quindi vulnerabile ad urti. Ve ne sono anche da 2 Terabyte ma il costo arriva intorno alle 100 euro e ce ne sono anche SSD (Solid State Drive) ma l prezzo sale ancora. Un ssd da 500 mb puo costare sui 195 euro circa.
5) (Costo 100 +200 – Difficoltà 2-3)
UN altro modo per salvare i nostri dati è quello di fare copie immagini periodiche dell’hardisk dove si trova il sistema operativo e anche eventualmente anche di quello ove si trovano i dati se è abitudine salvare i documenti in altre posizioni, ciò comporta non solo l’acquisto indispensabile di un nuovo hd esterno di grandi capacità ma l’uso di software che fanno copie di partizioni intere e ce ne sono diversi a disposizione sia free che a pagamento possono fare backup di intere partizioni o anche di sole cartelle in modo full o incrementale ne cito alcuni Acronis True Image, Clonezilla, Macrum Refelct ecc ecc basta cercare su Google software di copia partizioni.
6) (Costo 200 +300 – Difficoltà 3-6)
La soluzione 6 è come la precedente con l’aggiunta di una configurazione di rete e l’utilizzo di un NAS (Network Attached Storage) che è come se fosse un piccolo pc separato con un suo sistema operativo a se stante che in sostanza funziona quasi come hd esterno se lo si vuole usare cosi ma un nas è molti di più è come un gateway per limitare gli accessi ad un dispositivo protetto e può gestire anche diverse linee telefoniche, naturalmente può contenere più di un hard disk (e del tipo red leggermente più costoso ma molto più capienti) e la configurazione della rete con un NAS non è complicatissima, ma di sicuro nient affatto per neofiti.
L’articolo può essere soggetto ad aggiornamenti.