Ransomware: come proteggersi e rimuoverli

Strumenti per la rimozione dei Ransomware 

CYBER SECURITY: i ransomware  come funzionano

Rimuove i ransomware dal dispositivo colpito non è un’operazione semplice, e molte volte è un processo irreversibile e bisogna dire addio ai propri dati, soprattutto per le ultime varianti, nel tempo alcuni cracker hanno pubblicato le master decryption key e se si è fortunati questa è una delle vie percorribili, in altri casi alcuni utenti vittime a loro volta hanno pubblicato le chiavi e per le varianti meno sofisticate potrebbe essere la soluzione.

In rete si trovano molte volte delle soluzioni, siti che offrono aiuto, ma bisogna stare attenti alle fonti, poiché potrebbero essere delle trappole, nel senso che potrebbero installare sul vostro dispositivo ulteriori malware.

Molte volte anche senza saperlo, come già accennato precedentemente i sistemi operativi offrono delle soluzioni, come per il sistema Windows ossia le Shadow Copy, che sono delle copie di backup fatte in automatico dal sistema operativo ed a cui si può attingere per recuperare i documenti, bisogna però dire che le ultime varianti dei ransomware cercano di cancellare queste copie.

La maggior parte delle case che producono gli antivirus hanno realizzato strumenti gratuiti di prevenzione, se installati possono intercettare i ransomware e bloccare la loro azione, come per le shadow copy anche per questi, le ultime varianti di ransomware potrebbero bypassare tali controlli preventivi.

In alcuni casi, come per NotPetya (ultima variante del ransonware Petya) l’utilizzo del kill switch stesso può essere da antidoto alla sua infezione, si tratta di creare un file vuoto con il nome perfc (e senza estensione, alcuni riportano con estensione .dat, nel dubbio si possono creare entrambi) nella cartella del disco c: per i computer con sistema operativo Windows (C:\Windows\perfc).

Un'utilissima risorsa è riportata nel Ransomware Blog di Paolo Del Checco, che si prefigge di riportare di volta in volta i vari strumenti messi a disposizione della comunità per poter decifrare i dati criptati dai vari ransomware; a questo proposito anche Microsoft ha messo a disposizione strumenti gratuiti per poter intervenire  sia per individuare che per rimuovere eventuali malware presenti sul proprio dispositivo Windows, parliamo di Microsoft Security Essentials e Microsoft Safety Scanner; infine segnaliamo il sito https://noransom.kaspersky.com/it/ in cui sono presenti strumenti gratuiti per la rimozione dei ransomware.

Tecniche di protezione

La principale tecnica di protezione dai ransomware come da altri malware è quella di tenere costantemente aggiornato il proprio dispositivo a partire soprattutto dal sistema operativo, dai programmi che vengono utilizzati, in particolare il browser con cui si naviga in internet e molte volte viene utilizzato per eseguire transazioni finanziarie come ad esempio l’acquisto di un oggetto su un e-commerce, o pagamenti bancari, per chi usa l'home banking (ossia disporre operazioni bancarie tramite internet).

Sempre parlando dei browser eventuali plug-in utilizzati o barre degli strumenti esterne devono essere fidate ed aggiornate di continuo, poiché possono essere veicoli di infezione. Tenere costantemente aggiornato l’antivirus, il firewall, ma soprattutto installare strumenti anti-ransomware come programmi specificatamente realizzati a questo scopo che fanno da guardiani alle risorse del proprio dispositivo al fine di prevenire eventuali attacchi.

Ulteriore tecnica (se non la migliore ed imprescindibile) è quella di avere copie di backup dei propri documenti su dispositivi diversi da quello principale e che siano indipendenti e non accessibili in modo diretto dal dispositivo da proteggere. Le copie di backup devono essere verificate, per essere sicuri che nel momento del bisogno sia possibile ripristinarle senza problemi.

Tutte queste tecniche devono essere corredate da ulteriori buone pratiche da implementare durante il normale utilizzo del dispositivo, sono per lo più norme comportamentali, operazioni che vengono compiute tante volte, che con tecniche dette di social engineering possono portare al primo passo l'attaccante ossia inoculare il malware nel dispositivo.

La prima regola è quella di fare sempre attenzione alle mail che riceviamo ogni giorno, aprire solo quelle di cui siamo sicuri sul mittente, al minimo dubbio contattare con un dispositivo diverso il mittente (se proprio si ha necessità di aprire quella mail), bisogna ricordare che la principale minaccia arriva propria dalle mail. 

La seconda, amministrare i dispositivi utilizzando varie tipologie di utenti, se possibile, usare le utenze da amministratori solo in casi eccezionali, creare utenti diversi e limitarne le funzionalità alle solo necessarie per un determinato scopo.

Tecniche Avanzate

Bisogna riconoscere che nel campo dell'informatica la sicurezza, l'assenza di errori, di vulnerabilità, è pura utopia, raggiungere questa consapevolezza porta ad una migliore difesa, questo è un argomento che deve essere sempre rimarcato nel campo dei dispositivi elettronici, essere preparati al misfatto può aiutare nel trovare tecniche di resilienza che permettano il recupero dei dati e delle attività nel più breve tempo possibile.

Alcune tecniche che possiamo ritenere avanzate, sono quelle che cercano di rilevare i ransomware durante la fase di avvio del malware stesso, esistono varie tecniche: alcune monitorano le funzioni di crittografia (programmi e/o applicazioni software) offerte dal dispositivo stesso, ad un loro utilizzo fanno scattare un allarme; alcune monitorano il file system in particolare tenendo sotto osservazione il renaming dei file, ad esempio se in un breve lasso di tempo vengono rilevati molti cambi di nomi dei file, questo potrebbe indicare un tentativo di codifica degli stessi e quindi l'eventuale presenza di un ransomware in azione.

L'utilizzo di queste tecniche può comunque portare ad una perdita di dati, sebbene non significativa, ma cercano di risolvere il problema delle minacce zero-day, ossia quelle ancora non note e quindi non identificabili dai normali strumenti di difesa (anti-virus, firewall, etc.).

Una delle ultime tecniche in ordine di tempo è possibile implementarla a livello hardware e prevede il monitoraggio delle operazioni aritmetiche (moltiplicazione) sui grandi numeri interi, che sono alla base della crittografia a chiave pubblica (asimmetrica), sia se si utilizza l'algoritmo RSA che ECC (Crittografia Ellittica).

Come sappiamo la crittografia è utilizzata dai ransomware per generare la chiave pubblica che sarà poi usata dall'attaccante per decriptare i file, oltre che per cifrare i dati. 

Volendo essere più precisi, la crittografia a chiave pubblica viene utilizzata per cifrare la chiave simmetrica (insieme ad un vettore di inizializzazione) con cui normalmente vengono codificati i dati presenti nel dispositivo, in quanto il processo è più veloce.

L'approccio di questa una nuova tecnica di analisi e di rilevamento è definito EXPMONITOR , è indipendente dal sistema operativo, non richiede molte risorse (cicli di CPU) per il monitoraggio delle operazioni o delle funzioni critiche e potenzialmente dannose, e cercano di risolvere il problema di eventuali ransomware che cifrano i dati immediatamente con una chiave pubblica dell'attaccante.

Come anticipato all'inizio dell’articolo, sebbene queste tecniche siano definite avanzate, sono comunque aggirabili e vulnerabili, non a caso parliamo di famiglie di ransomware, poiché gli attaccanti una volta fermati evolvono le minacce per superare le contromisure adottate dai difensori. 

...continua la lettura nel pdf