Ransomware, il virus col riscatto
Quello registrato in Texas è solo l’ultimo e più eclatante caso in cui un ransomware è stato utilizzato per lanciare un attacco su larga scala. Ma i virus di questo tipo, che criptano cioè i file presenti sul computer e poi chiedono denaro per rilasciare la chiave necessaria a decifrarli, infettano ogni giorno i computer degli utenti comuni.
Ma cosa bisogna fare nel caso il proprio computer venga colpito da un attacco di questo tipo? Lo abbiamo chiesto a Fabian Wosar, CTO della società di sicurezza Emsisoft e uno dei massimi esperti di ransomware al mondo. Wosar ha dedicato la sua carriera di “hacker buono” a combattere gli estorsori digitali. Per proteggersi dalle minacce degli autori dei ransomware che ha contribuito a sconfiggere ha dovuto lasciare la sua città in Germania e si è trasferito in Inghilterra, in un luogo che nessuno conosce con precisione, neppure i suoi colleghi. La sua popolarità tra “i cattivi” è tale che i suoi nemici nascondono minacce indirizzate a lui direttamente nel codice dei propri virus, consapevoli che Wosar le leggerà nel tentativo di smontare pezzo per pezzo i loro armamenti digitali.Primo soccorso
«Se pensate che il vostro computer sia stato colpito da un ransomware», spiega Wosar a La Stampa, «la prima cosa da fare è disconnettere il PC da Internet e disabilitare ogni programma di pulizia che abbiate installato, come CCleaner, ad esempio. Poi procedete subito a creare un backup o un’immagine del disco: servirà nel caso il ransomware finisse per corrompere o cancellare i file oppure se i file dovessero diventare illeggibili durante il processo di recupero. Infine procede a scansionare tutto con un antivirus e mettere in quarantena il ransomware, ma senza eliminarlo».
Identificare il ransomware
L’ultimo passaggio, dice Wosar, è molto importante. Il file del ransomware infatti è necessario per riuscire a capire quale sia lo specifico malware che ha attaccato il computer. Per farlo ci sono due utilissimi tool online. Uno è No More Ransom, un progetto gestito dall’Europol che di recente ha compiuto tre anni. L’altro è ID Ransomware, un sistema indipendente sviluppato da Michael Gillespie, collega di Wosar alla Emsisoft.
Entrambi funzionano in maniera analoga: basta caricare sul sito uno dei file criptati dal ransomware e nel giro di pochi secondi è possibile sapere se per il virus che ha colpito il nostro PC esiste già un “antidoto”, cioè un tool di decrittazione gratuito che possa liberare i file senza necessità di pagare alcun tipo di riscatto.
«Nel caso sfortunato in cui un software di decrittazione non fosse ancora disponibile», dice ancora Wosar, «le possibilità sono due: tenere il backup del sistema compromesso al sicuro in attesa che diventi disponibile un tool per decifrare quello specifico tipo di ransomware, oppure provare a pagare il riscatto, ma questa non è mai una buona idea».
Pagare non è una buona idea
I massimi esperti del settore, Wosar incluso, suggeriscono infatti di non cedere mai al ricatto degli autori del ransomware. Pagare infatti non è mai una buona idea, soprattutto nel caso di un singolo utente privato non supportato da un’indagine delle autorità o di un team di esperti. In primis perchè cedere all’estorsione favorisce il cybercrimine e contribuisce a fornire fondi con cui gli autori di questo tipo di virus potranno continuare a sviluppare attacchi sempre più sofisticati. Poi perché il pagamento non offre alcuna garanzia che i file verranno poi effettivamente ripristinati: gli autori dei ransomware infatti non sempre forniscono i tool per decifrare i file anche dopo aver ricevuto il riscatto. E in molti casi, qualora un tool per liberare i documenti venga fornito, non è detto che funzioni.
«Nel caso di aziende che si trovano nella posizione di dover necessariamente pagare», continua Wosar, «ha senso rivolgersi a società specializzate nella gestione di questi casi. Queste aziende sanno in anticipo se uno specifico gruppo di malintenzionati fornirà una soluzione efficace – come detto, non tutti lo fanno – e possono guidare le vittime in maniera sicura attraverso tutto il processo. Attenzione, però: è importante scegliere con cura l’agenzia a cui affidarsi, perché anche in questo settore si sono registrati casi di pratiche ingannevoli ai danni delle vittime».
Prevenire è meglio che pagare
Ma cosa è bene fare allora per evitare un attacco ransomware o per avere più probabilità di risolverlo senza pagare? Come sempre nel caso della messa in sicurezza di un sistema informatico la prevenzione è fondamentale.
«Il miglior modo per non cadere vittime di un attacco ransomware è utilizzare un antivirus, tenere il proprio sistema operativo sempre aggiornato, esercitare estrema prudenza con qualsiasi allegato di posta elettronica, non installare software piratato e assicurarsi che i propri software RDP per il controllo remoto del desktop siano sempre aggiornati e offrano un adeguato livello di sicurezza. La cosa in assoluto più importante, però», conclude Wosar, «è prepararsi al peggio mantenendo con costanza un backup del proprio PC. Un servizio online che offra un meccanismo di “versioning” è forse l’opzione migliore. Versioning significa semplicemente che copie precedenti dei file sono mantenute nel backup assieme alle copie più recenti. Se il file corrente viene criptato da un ransomware con questo sistema si può tornare rapidamente e facilmente ad una versione precedente non criptata».
Lascia un commento