Come sistemare un ransomware: Suggerimenti pratici e strumenti gratuiti

I Ransomware sono uno dei più grandi problemi che flagella gli utenti di internet ogni giorno. Cosa succede quando uno di loro ti colpisce? La soluzione più ovvia sarebbe pagare il ransom. Non sareste gli unici a farlo – anche le grandi aziende e le organizzazioni no-profit hanno dovuto pagare, o al limite negoziare, con un ransom. Ma dovrebbe essere questa la nostra prima opzione? Difficilmente.

Perché gli attacchi Ransomware hanno così tanto successo?

La ragione principale del successo dei ransomware è il sofisticato modo di attaccare. Gli hacker creano campagne intelligenti basate su intuizioni relative al comportamento sociale. Inoltre, la tecnologia consente loro di nascondere il software di crittografia in quasi tutti i documenti. Immagina di ricevere un'e-mail che include il testo "Se la codifica del documento di Word allegato non sembra corretta, attivare le macro. Per attivarle è necessario fare come segue ... "

Un altro motivo sta nella debolezza delle policy di sicurezza delle reti IT. Fattori come backup inadeguati, la mancanza di un piano di disaster recovery, update del sistema e delle applicazioni poco frequenti, controllo inadeguato dei cambiamenti nell’infrastruttura IT e dei permessi, e lacune dei dipendenti nell’educazione sulla sicurezza sono tutte cause che possono mettere a serio rischio di infezione ransomware un’azienda.

Come sistemare un ransomware: Suggerimenti pratici e strumenti gratuiti

Avere dei buoni backup

La miglior difesa è una buona offesa – avere dei backup solidi. Potete farlo in vari modi.

  1. Copie shadow. Se sei un amministratore Windows, dovresti avere familiarità con il servizio di Shadow Copy dei volumi, un pezzo di software, introdotto per la prima volta in Windows Server 2003, che esegue degli snapshot di dati su specifici volumi configurati in punti predeterminati nel tempo. Questo servizio fornisce informazioni alla funzionalità della versione precedente nel client di Windows, consentendo agli utenti di fare clic con il pulsante destro del mouse su un file nel disco e di aprirlo in una versione precedente se, ad esempio, c’è stato un errore in un foglio di calcolo. Se riconoscete in tempo un’infezione ransomware, le copie shadow sono un buon metodo per fare il ripristino di file ad una versione non crittografata. Se non state utilizzando le copie shadow, configuratele immediatamente. Sfortunatamente alcune versione di ransomware penetrano questa procedura. Durante la loro infezione silenziosa, prima di crittografare i file, cancellano tutte le copie shadow che trovano nel disco.

  2. Backup regolari che possono essere ripristinati da un nastro o un disco di archiviazione. State già facendo backup regolari del vostro sistema di storage, giusto?
    E li state regolarmente testando per verificare che i file vengano ripristinati intatti? Se non lo state facendo allora smettete di leggere e configurate degli schemi di backup.
    Se lo state facendo, riposatevi un po’, poiché nel caso peggiore di un’infezione ransomware dovrete cancellare tutti i dati nelle macchine e ripristinarli dai backup. Sicuramente è un investimento di tempo, ma avrete la certezza di non dover pagare mai nessun ransomware e potreste essere visti come degli eroi.

Ricercare degli strumenti anti-ransomware gratuiti

Se ti trovi all'altro capo di un attacco ransomware completato, hai un paio di opzioni che non implicano il pagamento del riscatto.

I governi ed i ricercatori di sicurezza continuano a progredire contro le minacce ransomware, e finalmente sono riusciti a rompere ed analizzare i sistemi di crittografia utilizzati da alcune varianti di ransomware. È importante tenere presente che non tutte le varianti di ransomware sono state "rotte" dai ricercatori, quindi non dovreste fare affidamento esclusivamente sulla speranza che questi schemi di crittografia siano stati eliminati o verranno eliminati a breve. Non poggiate sugli allori quando si tratta di costruire difese contro questo tipo di attacco.

Se siete già stati vittime dell’attacco, allora reindirizzatevi verso il No More Ransom Project https://www.nomoreransom.org e cercate la variante che vi ha colpiti. Questo sito è sponsorizzato congiuntamente dal Centro Europeo di Cybercrime, Politie, Kaspersky Lab e Intel Security e contiene strumenti attuali di decrittografia per le seguenti varianti:

  • Crysus
  • Marsjoke/Polyglot
  • Wildfire
  • Chimera
  • Teslacrypt
  • Shade
  • Coinvault
  • Rannoh
  • Rakhni

Le suddette organizzazioni stanno lavorando per analizzare anche le altre varianti, ma l’analisi e la decostruzione di una buona crittografia richiede tempo, e i creatori di malware hanno sempre un incentivo perverso per rendere la loro crittografia più forte e ancora più difficile da distruggere. È una danza sfortunata, ma per ora potreste risparmiare utilizzando gli strumenti di decrittografia sul sito. Attenzione ai tool di rimozione di ransomware da altre fonti: possono essere effettivamente ransomware travestiti come strumenti di prevenzione.

Usare il File Server Resource Manager per catturare gli attacchi

Anche se siete stati infettati da un ransomware, non è troppo tardi per evitare ulteriori danni. Avrete probabilmente alcuni file crittografati, ma prima si interrompe la diffusione dell'infezione, meno file finiscono per essere presi in ostaggio e più facile è il compito di pulizia. Come abbiamo già spiegato, è possibile utilizzare lo strumento incorporato in Windows Server chiamato Resource Manager del File Server per catturare gli attacchi ransomware quando sono in esecuzione.
In sostanza, deve essere creata una share honeypot con il simbolo del dollaro davanti al nome per ingannare il ransomware per indirizzare i suoi sforzi di crittografia e farlo iniziare in quella parte particolare share. Lasciate che il gruppo Authenticated Users abbia il pieno controllo di questa condivisione in modo che qualsiasi processo che desideri scrivere nella condivisione possa farlo.

Questo server non è un dropbox per altri file, quindi non notificate la sua creazione agli utenti reali; Il suo unico uso legittimo è quello di catturare cose che non dovrebbero essere nei vostri sistemi. Quando la schermata Gestione risorse file server notifica l'attività che accade all'interno di tale condivisione, si presume che qualcuno sia stato infettato e gli taglierà l'accesso a qualsiasi share per interrompere l'attacco di crittografia. Esiste un semplice script PowerShell che può essere lanciato da File Server Resource Manager per fare ciò che abbiamo detto:

Get-SmbShare -Special $false | ForEach-Object { Block-SmbShareAccess -Name $_.Name -AccountName '[Source Io Owner]' -Force }

Una volta che queste autorizzazioni sono state rimosse, il ransomware non può accedere più ai file per crittografarli e, in pratica, si ferma. È quindi possibile rimuovere il malware, ripristinare i file crittografati e continuare con il proprio lavoro.