skip to main | skip to sidebar
10 commenti

Ransomware, a volte c’è speranza

Il ransomware è una brutta bestia: ne ho parlato spesso in questo blog e ho visto personalmente i danni e le angosce che può causare quando colpisce una piccola o media azienda, magari una di quelle che pensa di essere stata sufficientemente diligente perché fa i backup ogni giorno sul disco di rete (che però viene attaccato e cifrato anch’esso).

È un errore comune: per salvarsi dal ransomware, il backup dovrebbe essere invece su un supporto che viene fisicamente scollegato alla fine dell’operazione di copia.

Ma per fortuna a volte anche i creatori di ransomware fanno errori. Prendete quelli di CryptXXX, uno dei ransomware più popolari di questo periodo, che oltre a cifrare i dati e chiedere un riscatto ruba anche le password. La prima versione è comparsa ad aprile del 2016, ma nel giro di pochi giorni gli esperti di sicurezza hanno approntato uno strumento gratuito di recupero dei dati.

I criminali hanno messo in circolazione un’altra versione, ma anche questa è stata prontamente debellata dagli esperti di Kaspersky. E così i creatori di CryptXXX hanno creato una terza versione, che ha colpito centinaia di migliaia di vittime, generando profitti illeciti per circa 50.000 dollari in meno di due settimane.

Indovinate cos’è successo? Gli esperti hanno da poco reso disponibile Rannoh Decryptor, un nuovo strumento di recupero gratuito che batte anche la terza versione di CryptXXX oltre alle due precedenti. È uno dei tanti rimedi che trovate raccolti presso NoMoreRansom.org.

Ovviamente questo non vuol dire che si possono abbandonare le buone tecniche di prevenzione perché tanto c’è il software che recupera tutto: non tutti i ransomware sono contrastabili in questo modo e spesso lo strumento di recupero arriva giorni o mesi dopo l’attacco, per cui nel frattempo i dati di lavoro restano bloccati e quindi la produzione è costretta a fermarsi.

Tuttavia ci sono dei casi in cui l’attacco del ransomware colpisce dati preziosi che però non è urgente riavere: è il caso, particolarmente crudele, dei computer personali sui quali c’è l’unica copia dei video o delle foto di famiglia. In circostanze come questa può valere la pena di conservare il disco rigido colpito dal ransomware, scollegarlo in modo che non possa essere alterato ulteriormente, e ricollegarlo solo quando diventa disponibile un software di recupero.

Un’ultima raccomandazione: scaricate gli strumenti di recupero soltanto da siti affidabili (per esempio quelli di marche note di antivirus o da NoMoreRansom.org), perché i criminali fabbricano e diffondono anche falsi strumenti di recupero che in realtà infettano chi casca nella trappola.


Fonte: Tripwire.



Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Se un disco è fisicamente attaccato al computer ma già rimosso (windows) o espulso (linux) il ransomware è in grado di attaccarlo? Grazie
@ff se è rimosso e il sistema non lo vede, anche il ransomware non dovrebbe riuscire ad accedere ai file... dico dovrebbe perchè dare garanzie e certezze in questo campo a mio parere
è impossibile.

Il metodo di lasciare il disco attaccato al PC, ma "scollegarlo" quasi realmente, è un metodo che uso e ho implementato da diversi clienti e con la protezione da cryptolocker o similari, posso dire che funziona. [ https://drive.google.com/file/d/0BxMSw_j1LqeuSzFEeGFJcEdpQUE/view?usp=sharing ]
Come fanno i finti decryptor a fare danni? Peggio di così non si può (a meno che non salti in aria il PC):D :D :D (Scherzo, di sicuro rubano password salvate o altro)
Se un disco è fisicamente attaccato al computer ma già rimosso (windows) o espulso (linux) il ransomware è in grado di attaccarlo? Grazie
Molti sistemi permettono (su linux per esempio) di rimontare l'unità senza bisogno di doverla scollegare e ricollegare. Quindi non è un metodo 100% sicuro.

Il vero punto invece è un altro: questi ransomware solitamente sono limitati dai permessi dell'utente che inavvertitamente lancia l'applicazione. Se l'utente non ha permessi in scrittura di una determinata directory, solitamente i file contenuti in quella directory non verranno toccati dal ransomware.
Ecco perchè una buona strategia di backup, invece di lasciare che sia il sistema a copiare i propri files su una unità esterna, sfrutta un server dedicato che, al contrario, accede al pc dei client e effettua il backup in una directory inaccessibile in scrittura al client stesso.

Va da se che una corretta gestione dei permessi è fondamentale. Se, come in molte realtà che ho avuto modo di constatare, poi ci si limita ad autorizzare l'accesso completo senza autenticazione (perchè "è più veloce"), allora tutto questa strategia va in fumo.
Credo sia possibile indurre Windows a rienumerare le periferiche USB collegate e quindi riscoprire l'unità collegata. Ma non ne sono certo.

Comunque il miglior punto di partenza per segare le gambe a questi software criminali è come dice giustamente @emanuel_e usare un utente limitato per lavorare sul PC. Purtroppo non c'è questa cultura, e mi spiace che Microsoft non lo consigli di default... Ora all'inizializzazione di un PC bisogna creare un utente, che anche se non è come l'account predefinito administrator, ha comunque tutti i privilegi più elevati o quasi. Basterebbe in fase di primo avvio richiedere una password dell'account administrator e creare un account user e l'80℅, ma mi spingerei anche a un 90, dei problemi sarebbero risolti, chiaro che poi ci sono tutti una serie di aggiornamenti software che devono essere fatti da amministratore (Acrobat/Java/File/...) ma meglio inserire una password in più che correre rischi.
era Acrobat/Java/Dike/... Quanto detesto scrivere con cellulare... Grrrr
@Patrick Costa,
che su Windows manchi la cultura degli utenti con privilegi diversi rispetto al mondi Linux/Unix non ci piove. I motivi direi sono storici, Windows è nato fondamentalmente monoutente mentre Linux/Unix era multiutente perché Unix fu sviluppato all'epoca del grosso computer centrale e dei terminali.
Microsoft ci ha provato a fare ciò che suggerisci dai tempi di Vista con l'introduzione dell'UAC ma, proprio con Vista, dove l'UAC era più restrittivo, gli utenti si lamentavano del continuo apparire del messaggio di autorizzazione, anche perché erano poi i programmatori a non avere poi la cultura dei programmi con privilegi e autorizzazioni.
Come soluzione di prevenzione, visto che non posso pretendere che gli amici a cui do' consigli (o i Clienti che seguono le mie procedure) stacchino l'hard disk esterno dopo i salvataggi, spesso fatti di notte, ho inserito oltre al classico salvataggio periodico su disco esterno anche un salvataggio compresso (zip o 7-zip) criptato. Ho notato che per ora i criptoXXX aggrediscono i file classici (word, pdf, excel, immagini, musica) ma non i file compressi. Per ora, almeno. Lavorano sulle estensioni. Se dovessero aggredire anche questi si potrebbe sempre pensare ad un rename dell'estensione del salvataggio criptato.
Fate buon uso, sperando che non serva mai.
@Scatola Grande, purtroppo non ho dimestichezza col mondo Linux... :-( me ne rammarico Tantissimo, ma in fondo la colpa è solo mia perché me ne sono sempre sbattuto altamente... Quando ero giovane pensavo solo ed esclusivamente a Microsoft e passavo il mio tempo a formattare e ottimizzare Windows piuttosto che dare un'occhiata anche altrove...
Mai avrei pensato che avrei abbandonato Internet Explorer, e mai avrei pensato che avrei criticato Office e consigliato spasmodicamente OpenOffice prima e LibreOffice ora...
La filosofia di Linux è quella giusta e ora piano piano cerco di impararla.
Il controllo utente è una delle prime cose che disabilito... Non serve a nulla, gli utenti non possono capire se le richieste sono lecite o meno, la cosa migliore è farli lavorare come user.

@Francesco, il pericolo della criptazione è reale e concreta, non mi stupirei che facciano aggiunte a altri tipi di estensioni come odt, zip o anche tib (backup Acronis)...