Come prevenire i ransomware

In questi ultimi anni la minaccia informatica più diffusa è il ransomware (detto anche cryptolocker). Si tratta di un malware (virus) che crittografa in modo spesso inviolabile tutti i dati del proprio computer o del server chiedendo un riscatto per decifrarli: raramente il problema è risolubile senza danni. Si aggiunge abitualmente anche il secondo ricatto di divulgare i dati rubati che, soprattutto per le aziende, possono essere particolarmente importanti e riservati. Pagare non è mai opportuno sia perché non si è sicuri che i ricattatori rispettino quanto promesso e perché incoraggia i malviventi a reiterare il ricatto con altri utenti o addirittura con lo stesso, poco tempo dopo, se non ha chiuso le falle che hanno permesso la violazione.

Due accorgimenti validi hanno un elemento in comune: la prevenzione, analogamente a quanto avviene per i virus biologici. Adottali sempre entrambi.

  1. Non fare clic su link o allegati di messaggi di posta elettronica, tranne quando sei assolutamente sicuro della loro provenienza (non basta il mittente affidabile: deve esserci un motivo per quell’invio; nel dubbio, contatta previamente il mittente, tramite un altra via, per verifica) e del loro contenuto (attento agli inganni di finte fatture, multe, ecc.). Non rispondere OK e neppure Annulla quando un link sospetto apre una finestra di opzione: spegnere il computer dall’interruttore è la migliore difesa se non si sa come bloccare la minaccia, oppure chiudere l’applicazione dagli appositi tasti dello smartphone.
  2. Fa’ un salvataggio periodico (backup) almeno mensile o meglio settimanale dei tuoi dati su una memoria esterna abitualmente non connessa al computer (disco portatile o chiavetta USB). Prima di avviare la copia (che normalmente sovrascrive i dati salvati precedentemente), controlla che i tuoi documenti siano leggibili e non siano già stati crittografati. Esistono programmi di backup gratuiti, anche inclusi nei sistemi operativi. Un metodo semplice di fare la copia esatta di tutto l’albero delle proprie cartelle su un computer Windows è questa sequenza che aggiorna sull’unità esterna solamente ciò che è cambiato, rendendo così rapidissima l’operazione anche per molti dati:
    • Premi il tasto Windows (a forma di finestra) contemporaneamente alla r
    • Scrivi cmd
    • Scrivi robocopy c:\CARTELLADACOPIARE d: /MIR (copia anche tutte le sottocartelle)
      dove d: è l’unità esterna dove vuoi memorizzare l’albero di cartelle, che può essere e: oppure f: o altra lettera che scopri dall’elenco delle unità.

Se scopri di essere stato colpito da ransomware, puoi verificare se ci sono decrittori disponibili in https://www.nomoreransom.org oppure https://noransom.kaspersky.com. Se il tuo ransomware non è nuovissimo, potresti essere fortunato e decrittare i tuoi documenti. Se l’attacco è a un’azienda o un ente pubblico o privato, ci si può rivolgere alla Agenzia per la
cybersicurezza nazionale
che interviene gratuitamente a supporto.

​Se usi Google Drive con sincronizzazione offline (cioè con copia sul tuo computer), il ransomware non crittograferà i files nativi di Google (.gdoc, .gsheet, ecc.) perché questi, sul tuo computer, contengono solamente un riferimento e non il testo dei documenti. Cambiando il nome da .gdoc a gdoc.enc (per esempio), Google non riconoscerà più il file come riferimento valido e non farà nessuna variazione su Drive: quindi non dovresti avere nessun danno. Dovrai andare direttamente su Google Drive per utilizzarli. Invece se usi file tipo .docx, .xlsx, .pdf, ecc., troverai che anche su Drive saranno stati crittografati, ma potrai recuperare la versione precedente (clic destro sul file in Drive e Gestisci versione) a patto di farlo entro 30 giorni dall’infezione. Purtroppo dovrai farlo per ciascun file, a mano. Con Dropbox vale lo stesso criterio.

Ovviamente, prima di recuperare le versioni precedenti dei tuoi files, devi essere sicuro di aver eliminato il ransomware. Puoi farlo lanciando un antivirus da USB o DVD senza far partire Windows, come Trend Micro Rescue Disk. Più efficace è una formattazione completa profonda del disco e reinstallazione di tutto il sistema operativo e i dati da backup pulito.

Per fare una copia dei documenti nativi di Google Drive devi usare Takeout che converte i formati Google in quello che preferisci (OpenDocument oppure Microsoft Office) e poi conservarli su una memoria esterna abitualmente scollegata: il processo è lento se i dati sono molti e si applica solamente ai documenti di tua proprietà e non a quelli di altri condivisi con te su Drive. Per un’organizzazione che usa Workspace c’è una soluzione di Google oppure, più complete come funzionalità, Acronis e Backupify.

L’unica prevenzione efficace a portata di tutti è quindi la copia periodica frequente dei dati su una memoria esterna collegata solo durante la copia, dopo avere verificato che il computer sia pulito e i documenti siano leggibili.

Su Windows 11 è possibile attivare la protezione ransomware. Cerca queste due parole con Start e scegli se attivare l’accesso alle cartelle controllato e la configurazione di OneDrive come copia continua dei propri documenti, con la possibilità di recuperarli in caso di attacco al proprio computer.

Gli antivirus tradizionali e anche quello incorporato in Windows (ottimo, in base ai test recenti dei laboratori specializzati) non sono sufficienti per proteggere da tutti i ransomware ma creano una barriera di primo livello che evita infezioni di altra natura o blocca l’approccio iniziale del programma di crittografia criminale. Perciò, non lavorare mai senza un antivirus costantemente aggiornato!

Non trascurare questi consigli altrimenti dovrai piangere sul latte versato.

Michele Crudele

Ultimo aggiornamento: 2025-01-10