Nuova ondata di ransomware

Nelle ultime settimane abbiamo notato un notevole incremento di clienti giunti al nostro laboratorio perché colpiti da varie tipologie di ransomware, simili al famoso CryptoLocker di cui avevamo già parlato sul nostro sito.

Stiamo assistendo ad una diffusione massiccia di questo tipo di malware: si chiamano TeslaCrypt, CryptoWall, Chimera, Symplocker e certamente molti altri. È opportuno che gli utenti prestino particolare attenzione a proteggersi da queste minacce.

Ransomware: come funziona

Ransomware è una contrazione di “ransom”, in inglese “riscatto”, e “software”. Si tratta di una forma di malware che, una volta installato sul computer, impedisce il normale utilizzo del dispositivo o dei dati, richiedendo un riscatto in denaro per potervi di nuovo accedere. La particolare categoria di ransomware che si sta diffondendo negli ultimi tempi è definita “a crittazione”, cioè opera crittografando tutti i documenti sul sul disco, sulle memorie esterne (chiavette e dischi USB) e sulle condivisioni e dispositivi di rete collegati al computer infetto. I documenti crittografati non sono più leggibili dall’utente, ed il malware mostra quindi un avviso che richiede il pagamento di un riscatto per poter ottenere la chiave di cifratura e recuperare i documenti.

Il problema riguarda non solo i computer, indipendentemente dal sistema operativo, ma anche cellulari e tablet.

È importante ricordare che abbiamo a che fare con organizzazioni criminali, e pagare il riscatto non solo va ad alimentarle, ma non dà nessuna certezza di poter recuperare i propri dati.

Come si contrae l’infezione (e come evitarla)

Questi malware si diffondono principalmente in tre modi.

  1. Via E-Mail: questo, come per molti altri virus e malware, è il sistema di diffusione principale. Le mail infette hanno solitamente un allegato in formato zip o rar (ma anche altri formati) e cercano di far credere al destinatario che contengono fatture, preventivi, ricevute o notifiche di consegna corrieri, curricula di persone  eccetera. I criminali contano sul fatto che l’utente, incuriosito, li apra per verificare di cosa si tratta. Occorre prestare attenzione a non aprire assolutamente allegati provenienti da mittenti sconosciuti. Se non conoscete il mittente e non ci sono informazioni di contatto nella mail, evitate assolutamente di aprire l’allegato. Attenzione anche se vedete che la mail è sgrammaticata o contiene molti errori di ortografia.
  2. Tramite siti infetti: è possibile contrarre l’infezione navigando in siti infetti utilizzando software non aggiornato. È importantissimo che sistema operativo, browser e plugin (ad es. Flash Player o Java) siano aggiornati e corretti dalle ultime falle di sicurezza scoperte.
  3. Tramite link falsi di Play Store o App Store: questo riguarda i dispositivi mobili, prima di installare un’app, assicuratevi sempre di star scaricando dallo store ufficiale.

Cosa fare se si è contratto il malware

Nonostante tutte le precauzioni, è sempre possibile ritrovarsi il computer infetto. Se ci si accorge immediatamente di aver attivato il virus, ad esempio se ci si rende conto di aver eseguito ingenuamente l’allegato in una mail infetta, è bene spegnere immediatamente il computer o il dispositivo per impedire al malware di continuare a crittografare tutti i file. Tuttavia, spesso quando ci si accorge di aver contratto il virus è troppo tardi per recuperare i dati: l’unica vera sicurezza è la prevenzione.

La soluzione è il backup

L’unica vera soluzione per mettersi al sicuro da ogni evenienza è avere un backup dei propri dati, e dato che questi virus sono in grado di accedere alle unità di rete, le copie di backup devono essere conservate su un supporto scollegato dal PC.

Sono al sicuro se uso cloud storage?

Molti utilizzano servizi come DropBox o Google Drive per salvare i propri dati in rete, e pensano così di essere al sicuro da eventuali perdite di dati. Tuttavia, questi servizi non sono sostituibili ad un vero backup.

Infatti i servizi di questo tipo sincronizzano i file del disco con il cloud, ma non possono distinguere se le modifiche sono buone o cattive e quindi, usando il loro servizio di sincronizzazione, i file cifrati da un virus di questo genere saranno automaticamente caricati sul cloud sovrascrivendo i documenti lì presenti. È vero che tali servizi offrono un modo di tornare a versioni precedenti dei file modificati, ma questo sistema ha un difetto: ogni file va ripristinato singolarmente a mano, ed è facile immaginare quanto tempo ci vuole per ripristinare uno per uno centinaia di file!
Quindi questo genere di servizi è certamente ottimo per la condivisione di file in un team o se serve lavorare sugli stessi file da computer e device diversi e tener traccia delle modifiche mentre ci si sta lavorando, ma non sono adatti come sistema di backup.

Vi ricordiamo che FBItech vi offre un servizio di backup remoto che protegge i vostri documenti da queste evenienze. Infatti i vostri dati vengono trasferiti automaticamente ogni giorno sul nostro storage e messi da parte e al sicuro da ogni cosa possa succedere sul vostro PC o server aziendale. In caso di perdita dei dati, l’ultimo backup “sano” potrà essere ripristinato totalmente restituendovi i vostri dati importanti.

 Riferimenti e articoli correlati