Come prevenire i ransomware

In questi ultimi anni la minaccia informatica più diffusa è il ransomware (detto anche cryptolocker). Si tratta di un malware (virus) che crittografa in modo spesso inviolabile tutti i dati del proprio computer o del server chiedendo un riscatto per decifrarli: raramente il problema è risolubile senza danni. Si aggiunge abitualmente anche il secondo ricatto di divulgare i dati rubati che, soprattutto per le aziende, possono essere particolarmente importanti e riservati. Pagare non è mai opportuno sia perché non si è sicuri che i ricattatori rispettino quanto promesso e perché incoraggia i malviventi a reiterare il ricatto con altri utenti o addirittura con lo stesso, poco tempo dopo, se non ha chiuso le falle che hanno permesso la violazione.

Gli unici due accorgimenti validi hanno un elemento in comune: la prevenzione, analogamente a quanto avviene per i virus biologici. Adottali sempre entrambi.

  1. Non fare clic su link o allegati di messaggi di posta elettronica, tranne quando sei assolutamente sicuro della loro provenienza (non basta il mittente affidabile: deve esserci un motivo per quell’invio; nel dubbio, contatta il mittente per verifica) e del loro contenuto (attento agli inganni di finte fatture, multe, ecc.). Non rispondere OK e neppure Annulla quando un link sospetto apre una finestra di opzione: spegnere il computer dall’interruttore è la migliore difesa se non si sa come bloccare la minaccia, oppure chiudere l’applicazione dagli appositi tasti dello smartphone.
  2. Fa’ un salvataggio periodico (backup) (almeno mensile, meglio settimanale) dei tuoi dati su una memoria esterna abitualmente non connessa al computer (disco portatile o chiavetta USB). Prima di avviare la copia (che normalmente sovrascrive i dati salvati precedentemente), controlla che i tuoi documenti siano leggibili e non siano già stati crittografati. Esistono programmi di backup gratuiti, anche inclusi nei sistemi operativi. Un metodo semplice di fare la copia esatta di tutto l’albero delle proprie cartelle su un computer Windows è questa sequenza che aggiorna sull’unità esterna solamente ciò che è cambiato, rendendo così rapidissima l’operazione anche per molti dati:
    • Premi il tasto Windows (a forma di finestra) contemporaneamente alla r
    • Scrivi cmd
    • Scrivi robocopy c:\CARTELLADACOPIARE d: /MIR (copia anche tutte le sottocartelle)
      dove d: è l’unità esterna dove vuoi memorizzare l’albero di cartelle, che può essere e: oppure f: o altra lettera che scopri dall’elenco delle unità.

Se scopri di essere stato colpito da ransomware, puoi verificare se ci sono decrittori disponibili in https://www.nomoreransom.org oppure https://noransom.kaspersky.com. Se il tuo ransomware non è nuovissimo, potresti essere fortunato e decrittare i tuoi documenti.

​Se usi Google Drive con sincronizzazione offline (cioè con copia sul tuo computer), il ransomware non crittograferà i files nativi di Google (.gdoc, .gsheet, ecc.) perché questi, sul tuo computer, contengono solamente un riferimento e non il testo dei documenti. Cambiando il nome da .gdoc a gdoc.enc (per esempio), Google non riconoscerà più il file come riferimento valido e non farà nessuna variazione su Drive: quindi non dovresti avere nessun danno. Dovrai andare direttamente su Google Drive per utilizzarli. Invece se usi file tipo .docx, .xlsx, .pdf, ecc., troverai che anche su Drive saranno stati crittografati, ma potrai recuperare la versione precedente (clic destro sul file in Drive e Gestisci versione) a patto di farlo entro 30 giorni dall’infezione. Purtroppo dovrai farlo per ciascun file, a mano. Con Dropbox vale lo stesso criterio.

Ovviamente, prima di recuperare le versioni precedenti dei tuoi files, devi essere sicuro di aver eliminato il ransomware. Puoi farlo lanciando un antivirus da USB o DVD senza far partire Windows come Trend Micro Rescue Disk o Kaspersky Rescue Disk. Più efficace è una formattazione completa profonda del disco e reinstallazione di tutto il sistema operativo e i dati da backup pulito.

L’unica prevenzione efficace a portata di tutti è quindi la copia periodica frequente dei dati su una memoria esterna collegata solo durante la copia, dopo avere verificato che il computer sia pulito e i documenti siano leggibili.

Se usi il formato di documenti di Google (.gdoc, ecc.) con sincronizzazione locale, sulla copia esterna non salvi il contenuto dei tuoi documenti ma solo un riferimento che diventa inutilizzabile quando i documenti su Google Drive locale sono crittografati dal ransomware. Per fare una copia dei documenti nativi di Google Drive devi usare Takeout che converte i formati Google in quello che preferisci (OpenDocument oppure Microsoft Office) e poi conservarli su una memoria esterna abitualmente scollegata: il processo è lento se i dati sono molti e si applica solamente ai documenti di tua proprietà e non a quelli di altri condivisi con te su Drive. Un’alternativa consigliata da Google stesso per aziende con almeno 250 utenti è un backup cloud protetto come Backupify, che funziona anche per Microsoft 365.

Su Windows 10 è possibile attivare la protezione ransomware. Cerca queste due parole con la lente d’ingrandimento vicina allo Start e si aprirà una finestra che permette di attivare l’accesso alle cartelle controllato. È efficace ma costringe, ogni volta che si installa un nuovo programma, a dare permessi speciali rispondendo alle notifiche. Non è difficile e ci dà il tempo di ragionare per capire se il nuovo programma chiede strane e sospette abilitazioni. Opzione aggiuntiva è la configurazione di OneDrive come copia continua dei propri documenti, con la possibilità di recuperarli in caso di attacco al proprio computer.

Gli antivirus tradizionali e anche quello incorporato in Windows (ottimo, in base ai test recenti dei laboratori specializzati) non sono sufficienti per proteggere da tutti i ransomware ma creano una barriera di primo livello che evita infezioni di altra natura o blocca l’approccio iniziale del programma di crittografia criminale. Perciò, non lavorare mai senza un antivirus costantemente aggiornato!

Non trascurare questi consigli altrimenti dovrai piangere sul latte versato.

Michele Crudele

Ultimo aggiornamento: 2021-08-27