Come proteggersi dai ransomware

Da pochi anni, privati cittadini come aziende e strutture
di ogni tipo si confrontano con una minaccia informatica conosciuta sotto il nome di “ransomware”, che non è altro che un malware che ha come scopo di impedire alle vittime l’accesso ai loro files o addirittura all’intero sistemo informatico contaminato, finché esse non pagano una somma di denaro come riscatto (“ransom”).

Così, il ransomware è diventato una delle forme più snervanti di malware, soprattutto perché può produrre danni o quanto meno dispiaceri presso quasi ogni tipo di utilizzatore. La maggioranza di noi possiede, archiviate sui nostri dispositivi – dai PC agli smartphone – almeno qualche fotografia alla quale tiene molto e per le quali siamo disposti a fare sforzi, anche finanziari, per poterle recuperare. Ed è esattamente su questa nostra ‘debolezza’ che si basano i criminali che si occupano della creazione e della distribuzione dei ransomware, un affare, secondo le statistiche internazionali, tra i più redditizi a livello di guadagni.

Di seguito, proponiamo una serie di misure e raccomandazioni per prevenire le infezioni da ransomware, ma anche per diminuire i danni nel caso di un’eventuale contaminazione. Queste misure sono riprese dalla guida elaborata da un collettivo di autori dei quali facciamo parte e che il Centro Nazionale di Risposta agli Incidenti di Sicurezza Cibernetica (CERT-RO) ha messo a disposizione per il pubblico rumeno (1).

Misure di prevenzione

1. Essere cauti
Questa raccomandazione è basilare per aumentare la sicurezza dei sistemi informatici che utilizzate o amministrate. È ormai ben noto che l’utilizzatore rappresenta l’anello più debole dell’ecosistema della sicurezza informatica e perciò la maggioranza degli attacchi mirano a colpire la componente umana (social engineering, phishing, spear phishing, spam etc.). Vi raccomandiamo quindi di non accedere a dei link o a dei file allegati ricevuti tramite delle mail sospette prima di averne verificato sia il mittente che la sua legittimità. Un ragionamento simile deve essere posto sui siti web che visitate e sulle risorse online che utilizzate per scaricare o attualizzare le vostre applicazioni.
2. Eseguite copie di sicurezza dei vostri dati (backup)
Il metodo più efficace per combattere le minacce di tipo ransomware è la realizzazione periodica di backup per tutti i dati archiviati o processati dai vostri sistemi informatici. Così facendo, anche se l’accesso diretto ai dati vi viene bloccato da un ransomware, potrete rapidamente ripristinarli ed i danni provocati saranno minimi. IMPORTANTE! Per il backup, usate un sistema di storage esterno che non sia connesso in permanenza al sistema e alla rete, perché esiste il rischio di essere colpiti da ransomware avanzati che criptano anche i file dell’intero ecosistema connesso, anche quello di archivio esterno.
3. Attivate le opzioni del tipo “System Restore”
Nel caso dei sistemi Windows, vi raccomandiamo di attivare le opzioni “System Restore” per tutte le componenti di archivio. Nel caso di un’infezione o di una compromissione di alcuni file (persino quelli del sistema) i dati possono essere prontamente ripristinati riportando il sistema al suo stadio precedente. ATTENZIONE! Non basatevi esclusivamente su questa possibilità, perché alcune varianti recenti di ransomware eliminano pure i dati dal “System Restore”.
4. Implementate dei meccanismi del tipo “Application Whitelisting” L’ “Application Whitelisting” presuppone la messa in opera di un meccanismo che assicura il fatto che l’insieme del sistema informatico usi soltanto software autorizzati e conosciuti. Il concetto in sé non è nuovo, rappresentando in pratica un’estensione dell’approccio detto “default deny” (non permettere in modo implicito) che viene utilizzato da tempo dalle soluzioni di sicurezza del tipo firewall. Oggi, l’“Application Whitelisting” viene considerata come una delle strategie più importanti per combattere le minacce malware ed esiste una grande diversità di soluzioni tecniche che ci aiutano ad implementarla, anche se siamo semplici utilizzatori casalinghi, in particolare nel quadro dei sistemi Windows, dove la messa in opera può essere fatta tramite tools già incluse nel sistema operativo, quali SRP (Software Restriction Policies), AppLocker (che è raccomandata a cominciare dal sistema Windows 7 ed ha lo stesso scopo e uso che la SRP del Policy Group).
5. Disattivate dagli elenchi l’esecuzione di programmi come %AppData% oppure %Temp%
Una soluzione alternativa ai meccanismi di tipo “Application Whitelisting” (che però non è altrettanto efficace, ma aumenta comunque il livello di sicurezza) è di bloccare l’esecuzione di programmi da elenchi come %AppData% e %Temp%, grazie a delle misure di sicurezza esistenti (GPO – Group Policy Object) oppure utilizzando una soluzione del tipo IPS (Intrusion Prevention Software).
6. Rendete sempre visibili le estensioni dei file
Molti tipi di ransomware sono consegnati sotto la forma di file con un’estensione nota (.doc, .docx, .xls, .xlsx, .txt etc.) alla quale viene aggiunta l’estensione “.exe”, caratteristica dei file eseguibili – si ottengono così delle estensioni di tipo “.docx.exe”, “.txt.exe” ecc. La visibilità delle estensioni facilita grandemente l’individuazione di file sospetti o pericolosi. Rimane comunque raccomandato di non aprire mai dei file eseguibili ricevuti tramite mail.
7. Attualizzate in permanenza i sistemi operativi e le applicazioni L’attualizzazione delle applicazioni e dei programmi utilizzati è una misura obbligatoria per assicurare un livello di sicurezza adeguato al proprio sistema informatico. Nella maggioranza dei casi, un software non attualizzato è l’equivalente di una porta aperta (backdoor) per i cyber-criminali. In generale, i produttori di software pubblicano in modo regolare attualizzazioni (update) per i sistemi operativi e le applicazioni, l’utilizzatore avendo la possibilità di scegliere il download e l’installazione automatica delle attualizzazioni. Vi raccomandiamo quindi di attivare l’opzione di attualizzazione automatica laddove è possibile e di sapere quali sono le modalità più efficaci per attualizzare tutti gli altri programmi (verificare periodicamente le ultime versioni proposte sul sito del produttore). ATTENZIONE! Spesso, i programmi di tipo malware si spacciano come degli update dei software: verificate con attenzione su quale sito vi è proposto il download e l’attualizzazione del software.
8. Utilizzate soluzioni di sicurezza efficaci ed attualizzate
Una misura assolutamente necessaria per premunirsi dai malware è l’uso di una o più soluzioni di sicurezza – sofwtare – efficienti, attualizzate e che siano dotate delle facilità seguenti: antivirus, antimalware, antispyware, antispam, firewall ecc. Recentemente, non pochi prodotti antimalware propongono anche una protezione dedicata anti-ransomware.
9. Utilizzate software per monitorare i vostri file L’uso di software per monitorare i file (accesso, modifica, eliminazione ecc.) aiuterà ad osservare rapidamente comportamenti sospetti del sistema informatico o della rete.
10. Siate sempre attenti se accedete alle pubblicità del web (ads) Alcune delle più recenti versioni di ransomware sono state iniettate tramite pubblicità malevoli (malvertising) che figuravano su siti web molto popolari (notizie, negozi online etc.). Vi raccomandiamo di evitare quanto possibile di accedere a queste pubblicità e meglio, utilizzare software del tipo “add block” che vengono a bloccare la visibilità della pubblicità o l’apparizione di una pagina in modo automatico.

Misure di eradicazione e di limitazione degli effetti

1. Sconnessione dei mezzi di archivio esterni Sconnettete urgentemente tutti i mezzi esterni connessi al PC (chiavetta USB, memory card, hard drive esterno etc.), sconnettete il cavo della rete / disattivate tutte le connessioni alla rete (WiFi, 3G, 4G ecc.). Potrete così prevenire l’infezione di file archiviati sui mezzi esterni così come quelli accessibili online (network share, cloud storage ecc).
2. [Opzionale]. Realizzate una cattura di memoria (RAM)
Se si desidera un’investigazione ulteriore dell’incidente ed eventualmente rimuovere dalla memoria le chiavi di criptaggio utilizzate dal ransomware, realizzate al più presto una cattura di memoria (RAM), prima di spegnere il PC, utilizzando una soluzione specializzata. ATTENZIONE! Esiste il rischio che sino alla fine del processo di realizzazione della cattura di memoria vengano infettati (e criptati) ancora più file – in alcuni casi il malware può raggiungere la totalità del contenuto. La decisione di spegnere subito il PC o di effettuare prima una cattura di memoria deve essere presa in funzione delle priorità: è più importante salvare i dati o avere la possibilità di effettuare indagini ulteriori. Per esempio, se avete un backup di tutti i dati archiviati sul PC o i file che contiene non sono importanti, si può prendere la decisione di realizzare la cattura della memoria.
3. Spegnete il PC (Shutdown)
Se sospettate che un PC è stato contaminato da un ransomware e decidete di non fare una cattura di memoria, vi raccomandiamo di spegnere immediatamente il PC per limitare al massimo il numero di file criptati dal malware.
4. [Opzionale] Realizzate una copia (immagine) dell’HDD
Nel caso in cui si desidera un’ulteriore investigazione dell’incidente e l’eventuale recupero di una parte dei file con strumenti del tipo “Data Recovery”, realizzate una copia tip “bit per bit” (immagine) dell’hard-disk infettato dal malware, utilizzando un software speciale.
5. Realizzate un back-up “offline” dei file
Accendete il PC (boot) usando un sistema operativo che si carica da uno storage esterno (CD, DVD, chiave USB ecc.), come permettono la maggioranza dei PC moderni, in particolar modo se usano il sistema linux. Copiate su un altro supporto di archivio tutti i file dei quali avete bisogno, includendo quelli compromessi (criptati).
6. Restaurate i file compromessi
Il metodo più rapido di ricuperare i file contaminati da ransomware è di restaurarli da una copia di sicurezza (backup). Se non avete una tale copia, vi raccomandiamo di cercare di recuperare i file tramite “System Restore” oppure usando software specializzati per il recupero di dati (del tipo “Data Recovery”). ATTENZIONE! Vi raccomandiamo di cercare di recuperare i dati con software del tipo “Data Recovery” conformemente alle immagini (copie) dell’HDD (realizzate secondo il punto 4), altrimenti si corre il rischio di compromettere le possibilità di successo di una procedura più complessa, che presuppone il recupero dei dati direttamente dagli storage. Esistono soluzioni per cercare di recuperare i dati direttamente dai mezzi di storage, ma richiedono un livello elevato di expertise e delle dotazioni tecniche specifiche.
7. Disinfettate i sistemi informatici contaminati 
Il metodo più sicuro col quale potete assicurarvi che il sistema informatico non contiene più nessun malware (o parti di malware) è di re- installare completamente il sistema operativo, tramite la formattazione di tutti gli HDD/ed in primis delle loro componenti. Nel caso in cui questo non fosse possibile (per esempio se si vogliono recuperare i dati direttamente dall’HDD contaminato), vi raccomandiamo di utilizzare una o più soluzioni di sicurezza del tipo antivirus/antimalware/antispyware per scansionare il sistema e poi disinfettarlo.
   ATTENZIONE! Nel caso in cui desiderate cercare di recuperare i dati dagli HDD contaminati, come detto al punto 6, vi raccomandiamo di non provare a disinfettarli bensì di usare altri HDD per re-installare il sistema operativo. In ultima istanza, se i vostri file sono stati compromessi e nessun tentativo di recuperarli ha avuto successo, dovete rimanere molto prudenti sulla possibilità di riscattarli pagando la somma richiesta nel messaggio del ransomware. Quest’accettazione non solo incoraggia i criminali che si occupano di questo business, ma soprattutto non vi da nessuna garanzia reale che recupererete i dati dopo aver pagato, anzi, molte statistiche dimostrano la crescita del numero di criminali che incassano somme di denaro senza poi mandare nessuna chiave di decriptaggio.

Bibliografia

[1].https://www.us-cert.gov/ncas/alerts/TA14-295A

[2]. http://www.symantec.com/connect/blogs/ransomware-how- stay-safe

Cătălin Pătraşcu – CERTro

Cătălin Pătraşcu