Pericolo ransomware: come difendersi con buone pratiche e antivirus

Fonte foto: Shatterstock

Sono noti, in ambito tecnico, con diversi nomi: c’è chi li chiama cryptovirus, chi ancora cryptotrojan o cryptoworms, fino ad arrivare a scareware. In realtà, sono meglio conosciuti come ransomware e sono una delle infezioni informatiche più temute degli ultimi anni.

La loro diffusione è stata così rapida che ha messo in allarme le autorità e le polizie di tutto il mondo, riunite (insieme ad alcuni dei grandi nomi dell’industria informatica) nell’iniziativa No more ransom, che vede in prima linea anche la Polizia postale italiana. L’obiettivo è aumentare la consapevolezza degli utenti sui pericoli che si corrono in Rete e spiegare le modalità per evitare di essere infettati dai ransomware. Sul portale dell’iniziativa, inoltre, si potranno trovare molte altre informazioni utili su questa tipologia di malware, sulle modalità di funzionamento e sui vari strumenti disponibili per difendersi dai ransowmare.

Come agiscono i ransomware

Mascherati da documenti di testo o altre tipologie di formato file apparentemente innocue, i ransomware si diffondono, solitamente, tramite posta elettronica. La diffusione di questi malware, dunque, inizia come un’operazione di phishing, tesa a ingannare gli utenti con email contraffatte e strumenti similari. Oggi gli hacker mettono in campo anche altre tattiche truffaldine: utilizzano Facebook e altri social network per diffondere viralmente il ransomware con URL abbreviate, oppure creano falsi portali web con i quali trarre in inganno gli internauti. Una volta che si scarica il file, il più è (purtroppo) fatto: il malware si installerà nel disco rigido del computer, rendendolo di fatto inutilizzabile.

Fonte foto: Flickr

Schermata ransomware

Tutti i file presenti in memoria, infatti, saranno crittografati e resi illeggibili: la chiave per decrittare le informazioni, infatti, sarà nelle mani dell’hacker, che la consegnerà solamente dietro il pagamento di un riscatto (ransom in inglese). Siamo di fronte a un’estorsione in piena regola, seppur digitale: se l’utente vorrà riavere indietro i propri file e programmi, sarà costretto a pagare. Altrimenti… altrimenti cosa? Ci sono modi per eliminare ransomware gratis ed evitare di pagare il riscatto?

Come difendersi dai ransomware

Qualche anno fa, quando il fenomeno dei ransomware non era ancora così diffuso e conosciuto, le opzioni a disposizione dell’utente non erano poi molte. Nel caso si fosse rimasti infettati da un “virus del riscatto” si potevano seguire due strade: pagare e riavere indietro i file; formattare il PC e perdere per sempre il contenuto dell’hard disk (a meno che non si fosse stati previdenti con dei backup periodici). Il pagamento non è comunque la soluzione migliore, per una doppia serie di ragioni: prima di tutto, si finanzia il racket dei riscatti digitali e si dà modo agli hacker di migliorare ulteriormente gli strumenti illegali a loro disposizione; in secundis, seppur pagando non si avrà la certezza di ricevere la chiave crittografica necessaria a sbloccare i file e si resterebbe così vittima di una doppia truffa.

Fonte foto: Shutterstock

Se si è infettati da un ransomware pagare un riscatto potrebbe non essere sufficiente

Oggi la situazione è, fortunatamente, migliorata. Grazie a iniziative come la già citata No more ransom, la consapevolezza negli utenti è cresciuta, così come l’impegno delle software house e degli sviluppatori nella lotta per arginare il contagio da ransomware. Per evitare di restare infettato, infatti, è sufficiente aggiornare frequentemente sia il sistema operativo sia i software installati nel PC. Così come è fondamentale avere un antivirus scaricando sempre tutti gli aggiornamenti a disposizione. I programmi antivirus gratis e a pagamento, infatti, impiegano tecniche avanzate per individuare il ransomware prima che entri in funzione e lo eliminano prima che possa diventare dannoso.

Come recuperare i dati criptati

Un modo veloce per recuperare i dati criptati da ransmware senza pagare riscatto è grazie al ripristino della configurazione sistema di Windows. Il sistema operativo di Microsoft, infatti, realizza periodicamente delle “copie” del sistema in caso di bisogna: se il computer dovesse mostrare in continuazione messaggi di errore, l’utente potrà riportare indietro Windows e continuare a utilizzare il PC come se niente fosse. Il discorso è valido anche in caso di infezione ransomware: il malware che crittografa i dati altro non è che un programma come gli altri e tornando a una configurazione di Windows pre-ransomware.

Fonte foto: Flickr

Per aggirare il blocco di CryptoLocker si può decidere di avviare Windows in modalità provvisoria

Avviare il PC in modalità provvisoria (qui si spiega come farlo con Windows 10, qui con Windows 7) e avviare il prompt dei comandi (in Windows 7 si può scegliere di avviare in modalità provvisoria con prompt dei comandi, mentre in Windows 10 sarà necessario digitare cmd nel campo di ricerca della barra del menu Start e scegliere “Prompt dei comandi”). Nella finestra digitare “rstrui.exe” e premere il tasto Invio. Nel giro di qualche secondo si caricherà il programma per il ripristino della configurazione di Windows: navigando tra le varie opzioni sarà possibile portare indietro nel tempo il PC e continuare a utilizzarlo. Probabile che un’operazione del genere porti ugualmente alla perdita di alcuni dati, soprattutto quelli più recenti: tutto dipende dalla data di salvataggio della configurazione che si andrà a recuperare.

Programmi per eliminare ransomware senza pagare

Fortunatamente, esistono anche altre modalità che consentono di recuperare i dati crittografati con CryptoLocker e altri ransomware appartenenti a famiglie “analoghe”. Accade sempre più spesso, infatti, che le software house che sviluppano antivirus realizzino degli strumenti in grado di decifrare i file anche senza essere in possesso della chiave crittografica in possesso dei pirati informatici. Grazie a questi tool (e un po’ di pazienza) sarà possibile sbloccare i dati senza dover esser costretti a pagare il riscatto.

Prima, però, è necessario scoprire quale sia la famiglia di appartenenza del ransomware, così da trovare il tool di sblocco che fa al nostro caso. Due i servizi online che possono essere di grande aiuto in questo caso: Crypto Sheriff di No more ransom e ID Ransomware. Per entrambi i servizi è necessario fornire alcune informazioni sull’infezione, mettendo a disposizione due file crittografati o il messaggio di richiesta di pagamento “allegato” dagli hacker.

Una volta ottenuta questa informazione si potrà passare al “contrattacco”. In Rete, infatti, sono disponibili diversi programmi per eliminare ransomware senza pagare: basterà scaricare quello più adatto ai propri scopi (o, per meglio dire, alla propria famiglia di malware) per avere indietro i propri dati.

Una selezione di tool per cancellare ransomware è presente sul già citato portale No more ransom: si potranno scaricare sette programmi (WildFire decryptor, Chimera decryptor, Teslacrypt decryptor, Shade decryptor, CoinVault decryptor, Rannoh decryptor e Rakhni decryptor) rivolti alle maggiori famiglie ransomware. Per ogni programma è inclusa anche una guida all’utilizzo, così che gli utenti potranno avviare il software per eliminare i ransomware e riavere indietro i file crittografati gratis.

Altri tool altrettanto validi sono stati sviluppati da Emsisoft e TrendMicro, due delle maggiori software house impegnate nello sviluppo di applicativi per la sicurezza informatica. In questa loro attività, Emsisoft e TrendMicro hanno sempre dimostrato di essere in prima fila nella lotta ai ransomware.

Emsisoft Decrypter

Emsisoft ha realizzato decine di decifratori ognuno dedicato a un’infezione in particolare. Se, ad esempio, si cerca come eliminare FenixLocker, Autolocky o Nemucod, nessun timore: sarà sufficiente scaricare il tool adatto (sempre se presente nella lista) e seguire il processo di installazione guidata: nel giro di qualche decina di minuti si saprà se il software ha svolto il suo compito e si saranno recuperati i dati crittografati.

Fonte foto: TrendMicro

TrendMicro decrypter

Discorso differente, invece, per TrendMicro. La software house, infatti, ha realizzato un unico programma in grado di decifrare le chiavi crittografiche di alcune decine di famiglie ransomware (la lista completa è comunque presente nel link poco sopra). Per scoprire come eliminare Autolocky o come cancellare TeslaCrypt (nelle sue varie versioni e release) sarà sufficiente scaricare il tool, seguire la procedura guidata di installazione e avviare il programma: grazie alla guida iniziale sarà possibile avviare lo scan del disco rigido nel giro di pochi istanti.