::cck::2031::/cck::
::introtext::
Il virus informatico WannaCry ha creato il 16 maggio una epidemia mondiale su larga scala attaccando oltre 200 mila computer in 99 paesi, ed estorcendo riscatti di centinaia di euro per liberarli. Il nostro esperto di sicurezza informatica spiega come proteggersi e risolvere una eventuale infezione.
::/introtext::
::fulltext::
L’infezione denominata WannaCry, quasi globale, è stata possibile perché invece del veicolo tradizionale, email o siti malevoli, il trojan Ransomware, conosciuto come Cryptolocker, è stato attivato sfruttando una falla del sistema operativo di Microsoft, scoperta anni prima dall’NSA (National Security Administration) e non comunicata per tempo, molto probabilmente per sfruttarne le caratteristiche.
In special modo questa falla ha fatto danni su strumentazioni mediche, industriali e sistemi integrati (embedded), dove è difficile o impossibile eseguire gli aggiornamenti di sicurezza del sistema.
I danni provocati dall’infezione WannaCry sono stati enormi, nonostante Microsoft abbia elaborato una patch MS17-010 e avvisato di aggiornare i sistemi a febbraio, e nonostante un ricercatore britannico, Darien Huss, abbia attivato entro le prime 36 ore dall’infezione il kill switch del trojan, registrando il dominio gwea.com a cui il trojan tenta di collegarsi e solo se non riesce, continua ad infettare. E’ uscita ora anche la nuova variante, senza sistema di disinnesco, che farà ancora più danni!
Cosa possiamo fare per metterci al riparo da questo tipo di infezioni?
Cosa è un RANSOMWARE
E’ un Trojan (simile ad un virus ma lo attiva l’utente), che una volta attivato, cifra e cancella tutti i dati personali del vostro PC, lasciando disponibile solo il file cifrato.
A questo passo, cifra e poi cancella, segue la richiesta di un riscatto in bitcoin, tramite le istruzioni dettagliate che il Cryptolocker lascia all’utente per incassare il riscatto.
Molto spesso, se il PC che esegue il Trojan è connesso in rete, il Cryptolocker cifra l’intera rete visibile dall’utente, e se si tratta di un ufficio importante, con perdite significative di fatturato, per ogni giorno di fermo, conviene sicuramente pagare subito il riscatto, che di solito ammonta a circa 600 euro in bitcoin.
Va sconsigliato però di pagare, proprio per non alimentare questa pratica e diffusione, in quanto si tratta di estorsione vera e propria, anche se digitale.
La Prevenzione
Innanzitutto, il Trojan viene veicolato via email o siti web compromessi, quindi se si fa attenzione si può evitare del tutto l’attacco. Spesso viene inviato con email di richieste di pagamento, con fattura allegata, pagamenti di bollette, note di credito e quanto altro possibile per farvi aprire l’allegato, l’email è talmente ben costruita che è veramente difficile capire che sia una falsa copia, trovate spesso i vostri dati, oppure proviene da un nominativo conosciuto.
Quindi la prima regola è: “Se vi è un file allegato con una delle seguenti estensioni .ZIP .RAR .MSI, .JS e comunque differenti dal .DOC o .PDF”, non aprite l’allegato, ma cestinate il messaggio immediatamente. Eliminate anche l’opzione “Riquadro di lettura” che apre automaticamente l’email. E ripeto attenzione alle estensioni del file allegato, se non vi sentite sicuri, cancellate comunque il file oppure, come dovrebbero avere tutte le aziende serie, preparate un PC proprio per fare questi test.
Il PC in questione deve essere dedicato ai controlli, collegato ad internet ma non alla rete dell’ufficio.
Ogni email sospetta, inviatela (forward) alla casella di posta che avrete creato appositamente, ad esempio, controllo@tuaemail.it, per poi andare sul PC di test, aprire l’email della casella di test, anche con l’allegato, in quel caso anche se ci fosse allegato il Trojan Cryptolocker, non farebbe nessun danno, una volta appurato che l’email è genuina allora la potrete aprire anche nella vostra casella email.
Consiglio di installare un buon antivirus sul PC di test, come il MalwareBytes e successivamente fare una copia completa, per ripristinare il sistema in caso i virus o i trojan lo rendano instabile durante i test. I più smaliziati potrebbero creare una macchina virtuale…
Questo PC di test può essere utilizzato anche se si riceve una chiavetta USB o magari si trova e non si sa chi sia il proprietario o meglio il suo contenuto. Prima di inserirla sui vostri sistemi, testatela con un buon antivirus e controllatene il contenuto sul PC di test.
Soluzione migliore, NAS di rete
La soluzione migliore, rimane l’utilizzo di un NAS di rete (Network Attached Storage). Abbiamo provato per la Rivista Italiani QNAP, uno dei tanti prodotti disponibili sul mercato. Questo NAS ha un software che permette di effettuare il backup di tutti i file del vostro PC, di conseguenza di tutti i PC dell’ufficio, mantenendo tutte le versioni del file, qualsiasi modifica fate, potete ritrovare quelle precedenti, un po’ come fa la Time Machine del sistema operativo del Mac di casa Apple. L’applicazione si chiama Qsync e permette di tenere il backup sincronizzato, non utilizzando un percorso di rete, ma con un suo protocollo e quindi il Cryptolocker non lo può vedere e cifrare.
A questo punto, qualsiasi cosa succede ai vostri file, foto, documenti, archivi ecc. in ogni caso, cancellazione accidentale, cifratura di Cryptolocker, disintegrazione della galassia… in qualsiasi momento potrete riavere i vostri file.
Nel caso specifico del Cryptolocker, troverete dentro il cestino di rete del sistema Qsync tutte le cartelle e i file, come erano prima che il trojan li cancellasse. Basterà cliccare con il tasto destro su una cartella: all’opzione Qsync, selezionare “Versioni precedenti” e andare nel cestino.
Il sistema infatti, mentre sincronizza, sposta i file in un cestino virtuale. Selezionateli e cliccate “versione precedente”.
Quindi con una spesa minima, avete risolto tutti i vostri problemi, in caso di incidente, qualsiasi esso sia, la vostra attività non si fermerà, e in caso di utilizzo privato, i vostri amati file non saranno più persi.
E’ possibile attivare anche una copia in Cloud dei vostri backup, in caso di disastro, potrete recuperare tutto, anche se il vostro NAS va distrutto completamente.
Ma cosa fare se il Cryptolocker ha già fatto il suo lavoro e state piangendo dalla disperazione? Niente paura, anche in questo caso esiste una soluzione!
Se il Cryptolocker avesse già fatto danni
Bene prima di tutto staccate il cavo di alimentazione del PC, se avete il timore di aver aperto un allegato erroneamente e vedete le icone cambiare sotto i vostri occhi, l’estensione del file cifrato, automaticamente fa cambiare anche la grafica dell’icona, che nel caso di un documento o di un’immagine, la vedrete cambiare in icona generica, e il file cambiare la sue estensione; se succede staccate immediatamente il cavo di alimentazione o premete a lungo sul tasto di accensione per forzare lo spegnimento del portatile.
Evitate a questo punto di utilizzare il PC perché ogni modifica che apportiamo sul disco, diminuiamo la possibilità di recuperare i file cancellati dal Cryptolocker.
A questo punto ci occorrono due programmi forensi, FTK Imager e F-DAC, due software gratuiti. Il primo vi permette di fare una copia del vostro disco su file .DD, il secondo è un software di carving, termine utilizzato per indicare l’operazione di ricostruzione dei file cancellati.
Sul web trovate molti tutorial in italiano per l’utilizzo di FTK Imager, basta cercare con Google, ovviamente vi servirà un disco USB esterno di pari o maggiore dimensione del vostro disco interno, nel caso il trojan abbia cifrato più dischi o più partizioni, dovrete acquisirle tutte. Consiglio per praticità di creare file immagine di 2Gb.
Su F-DAC dovrete inserire un file alla volta, selezionare poi tutti i file e tutte le tipologie da recuperare e il gioco è fatto.
Addio Cryptolocker!
Acquista il server QNAP TS-453A. Amazon riconoscerà una piccola somma alla Rivista Italiani che verrà utilizzata per coprire i nostri costi redazionali.
::/fulltext::
::autore_::di Massimo Graziani::/autore_:: ::cck::2031::/cck::
0 comments
Share
Print
