Prevenire i virus che chiedono il riscatto per i file del PC

cryptolocker

In questi giorni stanno aumentando sempre di più le richieste di aiuto e di informazioni riguardanti Cryptolocker e le sue varianti, i cosiddetti virus Ransomware, quelli che chiedono il riscatto (Ransom) con estorsione.
Il problema con questi virus è il loro effetto dirompente che, una volta scatenato, non si cura più.
Quello che avviene sul computer (Windows ma non solo) dopo essere stati colpiti da uno di questi virus è che tutti i file personali memorizzati vengono crittografati e resi inaccessibili sul computer.
In altre parole ogni foto, documento Office, file di testo, PDF e qualsiasi altra cosa salvata nella cartella dei documenti diventa illeggibile visto che su questi file viene messa una protezione di crittografia che è impossibile o quasi da rimuovere senza la relativa chiave o password.
Il virus chiederà quindi di pagare una certa somma di denaro, di solito 500 Euro, per ricevere la chiave di decrittografia e recuperare i files.
Se non si vuol pagare l’organizzazione criminale responsabile di questo virus, la cattiva notizia è che, anche rimuovendo il malware che chiede il riscatto, i file restano comunque inaccessibili e, praticamente, non più recuperabili.

Data la gravità e la pericolosità delle estorsioni di Cryptolocker, Cryptowall, CBTLocker, Teslacrypt ed altre varianti di malware che chiedono il riscatto dei file, è davvero importante prendere misure di prevenzione.

La buona notizia in questa brutta faccenda è che il malware che chiede il riscatto colpisce soltanto se l’utente fa un errore che compromette la sicurezza del suo computer.
Prevenire il virus è quindi abbastanza semplice e non limita in alcun modo le attività sul PC.

1) Avere un Antivirus aggiornato sul PC.
Tutti i computer Windows 8 e Windows 10 hanno già l’antivirus Windows Defender installato che si aggiorna automaticamente.
Su computer Windows 7 o per avere maggior controllo è possibile installare uno degli antivirus gratuiti suggeriti da microsoft.
Qualsiasi antivirus si utilizzi, è importante che si aggiorni automaticamente ogni giorno scaricando le nuove definizioni di virus.

2) Avere il PC con Windows aggiornato
Questo significa che il servizio Windows Update deve essere attivo e automatico.

3) Rimuovere o aggiornare i plugin dei browser
Purtroppo plugin come Java e Flash Player sono pieni di bug che consentono ai virus di colpire il computer.
Se si utilizza quindi una versione vecchia di questi plugin, le possibilità di beccare l’infezione aumentano esponenzialmente, anche senza fare cose particolari su internet.
Idealmente, sarebbe anche meglio rimuovere Flash, Java e tutti i plugin dei browser web per stare più sicuri.

4) Assicurarsi che il browser sia aggiornato sempre all’ultima versione.
Chrome si aggiorna automaticamente così come Firefox.
Per ogni altro browser conviene controllare spesso se ci sono aggiornamenti da scaricare e se questi non vengono rilevati automaticamente, meglio cambiare browser.

5) Tenere attivo il Controllo Account Utente.
Il Controllo Account Utente, detto anche UAC, è quella funzione di Windows che blocca l’esecuzione di file fino a che non interviene l’utente a confermarla.
Si tratta di quel messaggio di richiesta per consentire a quella app di apportare modifiche al sistema, che compare quando si esegue un nuovo programma o un file.
Disattivando UAC si perde il controllo su eventuali malware che tentano di eseguirsi automaticamente sul computer.
Tenendolo attivo invece si può bloccare sul nascere ogni azione di file pericolosi o non riconosciuti.

6) Attivare le estensioni dei file per riconoscere i file exe che sono quelli più pericolosi.

7) Fare attenzione a non aprire allegati delle Email provenienti da indirizzi sconosciuti o che sembrano false.
La Mail è ancora oggi il veicolo di virus più usato.
Sono sempre i messaggi falsi, come quelli della banca, di Paypal, della Carta di credito o di ricevute per acquisti online mai fatti, quelli che contengono sicuramente virus.
A volte sono allegati che, una volta aperti, infettano il PC, mentre altre volte sono solo dei link che portano l’utente ad aprire una pagina web con codice dannoso.

8) Fare attenzione massima quando si naviga su siti di piraterie, file sharing, visione di video in streaming ecc.
In genere questi siti hanno pubblicità molto invasive e, spesso, molto cattive, che se cliccate possono portare al download di malware.

9) Backup, Backup e Backup.
Questo è qualcosa di fondamentale per evitare di piangere dopo un virus con riscatto.
Se infatti tutti i file del computer sono stati salvati su un altro hard disk in una copia di backup, poco ci importa che un malware ce li blocca sul computer.
Una volta rimosso il virus e cancellato i file crittografati, si potranno ripristinare dal backup.
Bisogna notare anche che una buona soluzione può essere salvarli in uno spazio cloud usando servizi come OneDrive o Google Drive per i documenti ed i file importanti e Google Foto per il backup di foto.

10) ShadowCopy (o versioni precedenti)
Oltre ai backup che ognuno di noi dovrebbe sempre avere ed effettuare, un ottima soluzione preventiva contro questo tipo di virus è abilitare le funzionalità di ShadowCopy anche dette Versioni Precedenti che sono presenti da Windows 7 in poi.
Con queste precauzioni, nessun file Cryptolocker può far paura e se anche riuscisse a colpirci, non avremo difficoltà a sbarazzarcene.

Ma andiamo a vedere cosa succede quando questo virus infetta il computer.

Non appena il malware Crypto colpisce, compare un messaggio scritto in inglese o in italianoche avverte del fatto che tutti i nostri file importanti del computer sono stati crittografati o “encrypted”.
Il messaggio continua dicendo che per avere i file indietro serve la chiave di decriptazione che si può ricevere pagando una somma di riscatto da 500 Euro.
In alcuni casi c’è anche un timer a scadenza entro il quale pagare il riscatto con la somma richiesta, che sale di valore se passa troppo tempo.
Provando ad aprire i file jpg, doc, pdf e altri nella cartella dei documenti, si riceverà un errore di accesso.
Nelle cartelle con file crittografati si dovrebbero anche trovare tre file di istruzioni chiamati:DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html,DECRYPT_INSTRUCTION.url che riportano la guida per pagare il riscatto.

NOTA: Su alcuni siti ho trovato che è possibile evitare l’effetto del virus Ransomware e l’estorsione spegnendo e staccando brutalmente la spina al computer non appena ci si accorge dell’infezione o di uno di questi tre file.
Viene anche consigliato di staccare immediatamente la connessione internet bloccando le comunicazioni tra il virus e il server a cui si collega.
Viene anche spiegato che è possibile provare a rinominare i file cambiandogli estensione (per esempio, documento.doc diventa documento .nocrypto)
In questo modo il virus può fallire nel riconoscimento e non applicare la crittografia.

Il riscatto si paga in BitCoin, la valuta digitale anonima che rende i trasferimenti di denaro non tracciabili e che rende gli hacker criminali al sicuro da ogni tentativo di rintracciarli.
Bisogna quindi andare in uno dei siti dove comprare BitCoin e seguire le istruzioni per il pagamento.
A questo proposito, non si trovano su internet molte testimonianze riguardo il successo o meno delle estorsioni e il pagamento del riscatto.
Anche se non posso esserne sicuro, pagando si dovrebbe ottenere immediatamente l’accesso ai file bloccati sul computer e non dovrebbe esserci la truffa ulteriore per cui anche pagando non si riceve nulla (gli autori del malware non dovrebbero avere alcun interesse e nemmeno alcun vantaggio a ingannare gli utenti in questo modo e se si diffondesse in giro la storia che anche pagando non si ottiene nulla, allora nessuno pagherebbe più).

Se invece non si volesse cedere all’estorsione e pagare il riscatto al criminale che sta dietro il virus, allora è opportuno rimuovere il virus che prende in ostaggio il computer seguendo la relativa guida che, sinteticamente, prevede di: avviare il PC in modalità provvisoria, usare rKill per fermare i processi esterni a Windows, scansionare con Malwarebytes Antimalware e poi con HitMan Pro per cancellare ogni residuo del mawlare.

Ripeto quindi che una volta crittografati i files da Cryptolocker e simili, sarà quasi impossibile recuperarli.

Originally posted 2015-12-08 01:52:38.

Translate »
We use cookies to ensure that we give you the best experience on our website.
More about our cookies