Security Notes

Cosa fare quando un malware cifra i file e impedisce l’accesso al nostro sistema?

Malware

Abbiamo imparato nel corso dei mesi a distinguere i da altri codici malevoli. In breve, i impediscono al proprietario del sistema che infettano di accedere alle sue risorse in diversi modi: possono bloccare semplicemente l’accesso al sistema in fase di avvio oppure possono impedire l’accesso ad alcuni file, cifrandoli. Alla vittima è richiesto di pagare un “riscatto” per ripristinare la situazione antecedente all’infezione.

CryptoLocker, CoinVault e TeslaCrypt sono i nomi di alcuni dei principali ransomware che hanno infettato milioni di utenti in tutto il mondo. L’estorsione che accompagna l’attacco è una pratica molto comune nell’underground criminale e i ransomware consentono a gruppi criminali di monetizzare rapidamente i loro sforzi. Il perchè è presto detto: molti sono i casi in cui le vittime optano per il pagamento del “riscatto,” sebbene non sempre i file siano realmente ripristinati. E’ facile capire come, per i criminali, diventi davvero semplice accumulare cifre da capogiro.

Ma cosa fare se un ransomware infetta il nostro PC?

La prima cosa da fare è disconnettere la macchina dalla rete interna per impedire la diffusione dell’agente malevolo. Prima di procedere al tentativo di rimozione del malware bisogna assicurarsi di creare una copia del disco che può essere ripristinata in caso di problemi. Il secondo passo è l’identificazione del ceppo di malware che ha causato l’infezione, quindi l’utente può cercare di decifrare i file e rimuovere l’agente dannoso utilizzando il tool specifico per l’infezione. Ma per l’utente medio non è sempre facile identificare il malware: la buona notizia però è che un ricercatore recentemente ha creato un tool unico che racchiude in se i principali sistemi di rimozione dei vari ransomware presenti in rete.

L’esperto di Jada Cyrus ha compilato infatti un “ransomware Rescue Kit”, un vero kit di sopravvivenza per la rimozione di molteplici ransomware che è disponibile in rete gratuitamente. L’idea alla base del kit di rimozione è fornire uno strumento unico per decifrare i file criptati da diversi ceppi di ransomware. “Ho compilato questo kit perché possa essere utilizzato da professionisti della sicurezza e amministratori di sistema per rispondere alle infezioni di ransomware” scrive Cyrus.

Uno dei suggerimenti più importanti da seguire in caso di infezione causate da ransomware è di evitare di pagare il riscatto: “Non si dovrebbe mai pagare il riscatto”, dice Cyrus. “Pagare aiuta solo a rafforzare questa tipologia di attacco.

kit

Il kit in questione è in grado di rimuovere i principali Ransomware in circolazione in quanto incorpora i seguenti tool di rimozione.

  • CoinVault: CoinVault ransomware removal tools
  • CryptoLocker: CryptoLocker removal tools and Threat Mitigation
  • CryptoLockerDecrypt: Scritto da FireEye per decifrare i file protetti dal CryptoLocker ransomware
  • FBIRansomWare: FBIRansomWare Removal Tools
  • TeslaCrypt: Tool per la rimozione di questa variante del popolare CryptoLocker ransomware
  • TrendMicro_Ransomware_RemovalTool: Tool generico di TrendMicro per la rimozione dei principali ransomware

Come sempre sostengo, prevenire è meglio che dover curare: per evitare di infettare il nostro PC con un ransomware è necessario conoscere come questi malware si propaghino. Attenzione, quindi, alle e-mail non sollecitate e attenzione a non aprire allegati sospetti, e, infine, attenzione ai siti che visitate.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This