Allarme Cryptovirus: prevenire per non pagare il riscatto

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.
di Redazione pubblicato il 26 Febbraio 2016 nel canale SicurezzaCome curare, per quanto possibile
Veniamo alla domanda più calda quando si parla di ransomware: cosa è possibile fare quando, nonostante le dovute attenzioni, il proprio sistema viene colpito da uno di questi malware? Estinguiamo subito le speranze sottolineando che tutti i casi in cui le società di sicurezza sono state in grado di recuperare i file criptati si riconducono a poche circostanze: sequestro dei server che ospitano le chiavi di cifratura, infiltrazione di ricercatori di sicurezza nei sistemi degli attaccanti o implementazione non corretta dei sistemi di crittografia. Un ransomware correttamente programmato e le cui chiavi di cifratura siano adeguatamente protette lascia pochissimo se non nullo spazio alla possibilità di recuperare i dati senza la giusta chiave, per la quale è richiesto il riscatto.
Riscatto che sconsigliamo nella maniera più assoluta di corrispondere: non vi è infatti alcuna garanzia che l'attaccante fornisca la chiave corretta, non vi è nessuna assicurazione che il problema non si ripresenti e, in ultima istanza, si alimenterebbe il giro criminale cui Manzoni faceva riferimento nella pagina precedente. E' interessante osservare, a tal proposito, che molti servizi di cambio bitcoin stanno approntando un sistema di monitoraggio per individuare quelle somme che più frequentemente sono state chieste come riscatto, allo scopo di ostacolare il fenomeno.
Chiarito ciò, quali eventuali contromisure immediate è possibile adottare non appena ci si accorge di essere stati colpiti da un ransomware? Suggerisce Giuliani: "Molti ransomware necessitano di una connessione ad Internet. Un primo trucco banale ma efficace contro qualche variante di ransomware è quello di interrompere appena possibile la connessione al web. In questo modo per alcune versioni la routine di crittografia dei dati viene interrotta, permettendo di limitare i danni. In alternativa si può spegnere il computer il prima possibile, per poter recuperare in un secondo momento ciò che ancora non è stato compromesso". Successivamente si può tentare di avviare il sistema tramite un antivirus con boot da CD (ad esempio Kaspersky Rescue Disk, Windows Defender Offline, BitDefender bootable CD, Dr.Web Live Disk) o da altra unità per trattare l'infezione: è consigliabile in questo caso non eliminarla ma confinarla in quarantena poiché rivolgendosi ad una società di sicurezza è possibile far analizzare la minaccia e tentare un recupero dei dati.
277 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCi hanno contattato perfino da Comuni dove il personale si è autoinfettato tramite email inviate da alcuni dipartimenti e che si sono diffuse in tutti gli uffici.
La soluzione è sempre esistita ma non si vuole affrontare il costo o la seccatura di effettuare l'operazione con una certa cadenza (se il sistema non provvede in automatico), quindi direi che è una cosa tutta meritata per chi "sfortunatamente" ne è vittima.
<<Server nuovi o l'X5 aziendale per natale?>>
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?
lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup).
in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto?
PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?
Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).
ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di
PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.
PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.
PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!
1) come limitare al massimo la probabilita' di infezione
2) come comportarsi con un pc infetto
per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati
altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)
per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina.
Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.
<<Server nuovi o l'X5 aziendale per natale?>>
Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.
Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B
Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia
Oggi abbiamo ricevuto una comunicazione che estende il pericolo anche ad allegati di tipo *.doc, *.pdf e *.xls, oltre ai classici *.exe e *.zip.
Purtroppo basta una disattenzione, una mail finta inviata da un contatto conosciuto con allegato un file tipo documento e la frittata è fatta.
Non so come sia potuto accadere a te, però mi sembra utile condividere questa informazione...
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di
PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.
PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.
PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!
Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.
Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B
Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia
E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?
si, per ora
tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.
se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".