Attacchi hacker: come difenderci da WannaCry, Cryptolocker e gli altri ransomware

WannaCry è l’ultimo di una serie di attacchi che prende di mira i nostri dati chiedendoci un riscatto in denaro. Anche se è particolarmente ostico, ecco alcune tecniche per sfuggirgli.

chiudi

Caricamento Player...

Se un tempo i “cattivi” della Rete lo facevano soprattutto per una specie di spirito romantico, oggi evidentemente anche loro devono pagare le bollette; questo spiega perché WannaCry, come molti altri “virus” recenti, blocca i nostri dati e richiede un pagamento in denaro. Per la precisione, in criptovalute come il Bitcoin, cioè il denaro elettronico particolarmente usato nelle profondità della Rete.

Aggiornamento del 23 maggio 2015: Proprio in questi giorni diverse fonti, fra le quali Fortune, parlano di un successore di WannaCry chiamato EternalRocks, più subdolo dei predecessori. Questo malware infatti non fa altro se non moltiplicarsi di computer in computer, rimanendo però silente: non “ruba” dati, non usa il nostro computer per fare transazioni sulle criptovalute. Semplicemente, lascia i computer vulnerabili al controllo remoto. In pratica, in un momento qualsiasi, un computer infetto può essere “svegliato” e utilizzato per gli scopi preferiti dal malintenzionato.

Combattere WannaCry e gli altri ransomware

Questa categoria di programmi maligni ha un suo nome, ransomware, che deriva dal fatto che chiedono un riscatto (ransom in inglese) per restituirci i nostri dati, che altrimenti rimangono bloccati da una crittografia praticamente indecifrabile, e quindi non saranno più accessibili. Il “riscatto” di WannaCry corrispondeva a 300 dollari. Prima di sborsare, ci sono alcune cose che possiamo tentare per vedere se possiamo recuperare almeno in parte i nostri dati, e poi decidere se vale la pena pagare per quello che avanza o meno. Teniamo presente che si tratta di soluzioni “di pronto soccorso”, che chiunque può mettere in pratica da solo o con l’aiuto di un amico esperto, e che valgono per tutti i malware di questo tipo. Nella seconda parte di questo articolo, invece, vedremo come fare un po’ di sana prevenzione.

Recuperiamo i nostri dati

Primo tentativo: il backup

Vi ricordate di tutte le volte in cui il vostro amico smanettone vi ha detto che era indispensabile fare un backup dei dati? Ecco, se siete stati colpiti da WannaCry, ora capite perché.

Chi ha una copia di backup recente infatti, non deve fare altro che ripulire il proprio computer con una scansione antivirus, fare spallucce e recuperare i dati dal backup una volta che il computer è messo in sicurezza. Ma probabilmente, chi sta leggendo qui non ha mai dato retta all’amico smanettone.

Secondo tentativo: le versioni precedenti di Windows

Alcune versioni di Windows, per nostra fortuna, fanno una sorta di Backup a nostra insaputa. Prendiamo uno dei file che sono stati colpiti, proviamo a fare clic con il tasto destro e verifichiamo se esiste la voce ripristina versioni precedenti. Se non è presente, proviamo a fare lo stesso con la cartella che contiene il file. Se è presente, dovremmo poter recuperare tutti o in parte i file che ci sono all’interno. Se Windows non ci da la possibilità di farlo, potrebbe dipendere sia dalle impostazioni del computer sia dal tipo di ransomware che ci ha infettati. Passiamo semplicemente oltre.

wannacry ransomware versioni precedenti

Terzo tentativo: i servizi di archiviazione in cloud

Se usate DropboxGoogle Drive per i file importanti, ecco una buona notizia. Entrambi questi servizi infatti, oltre a conservare i nostri file al sicuro, ne conservano anche le versioni più obsolete, se questi sono stati modificati. Inoltre, se il malware è particolarmente tosto e li ha cancellati, possiamo controllare nel “cestino” di questi programmi. Ecco come fare

Dropbox

Per visualizzare le versioni precedenti di un file andiamo su dropbox.com, accediamo al nostro account e cerchiamo quello che ci interessa. Quando l’abbiamo trovato, facciamo clic sui tre pallini in fondo alla riga e scegliamo la voce cronologia delle versioni per sceglierne una precedente.

cronologia versioni Dropbox

Per controllare i file eliminati invece dobbiamo solo scegliere la voce dal menu di sinistra. Lo strumento che si apre ha anche un comodo calendario delle eliminazioni, ma la versione gratuita conserva i file per soli 30 giorni. Un tempo più che ragionevole per renderci conto di essere infetti

File eliminati - Dropbox

Google Drive

Per visualizzare le versioni precedenti apriamo drive.google.com, accediamo al nostro account e cerchiamo il file o i file incriminati. Quando l’abbiamo trovato facciamo clic con il tasto destro e scegliamo gestisci versioni per sceglierne una precedente e non “bloccata”

gestisci versioni Google Drive

Per controllare i file eliminati non dobbiamo fare altro che aprire il cestino, trovare il file o la cartella che ci interessano e fare clic con il tasto destro, poi scegliere ripristina.

cestino Google Drive

Quarto e ultimo tentativo: i programmi di recupero dati

Mentre alcuni di questi ransomware rinominano i nostri file, altri li cancellano e li sostituiscono (sembra peraltro che questo sia il comportamento di WannaCry). In questo caso, potrebbe essere una buona notizia. I file cancellati sul nostro computer infatti non sono quasi mai realmente cancellati, ma solo preparati per essere eliminati quando lo spazio sta per finire. In questo caso basta far controllare il nostro disco (o i nostri dischi) a uno di questi programmi per avere buone speranze di avere indietro buona parte dei nostri dati. Ecco tre fra i più celebri programmi di recupero:

Questi programmi hanno modalità assistite che rendono il recupero piuttosto semplice e soprattutto sono gratuiti, il che costituisce un bel vantaggio. Tre raccomandazioni importanti: prima di tutto chi vuole tentare il recupero dovrebbe usare il computer il meno possibile, per evitare di “passare sopra” ai dati cancellati. Poi, assicuriamoci che il il computer non sia più infetto prima di effettuare il recupero. Infine, tutti i dati che il programma trova dovranno essere trasferiti su un nuovo disco, per non compromettere quelli in fase di recupero.

Combinando queste quattro soluzioni, dovrebbe essere possibile recuperare una buona parte dei dati. Mentre se non siamo ancora stati colpiti, ecco alcune regole per fare della buona prevenzione.

Preveniamo gli attacchi di WannaCry e degli altri ransomware

La regola d’oro: usiamo il nostro buonsenso

le infezioni più “terribili” hanno tutte un punto in comune: a un certo punto, siamo stati noi a installare il programma che ha infettato il nostro computer.

Come è possibile? Semplicemente, i malintenzionati sono molto bravi a mascherare lo strumento usato per installare il malware, ma ricordiamoci che con i sistemi operativi moderni è praticamente impossibile che un file si installi se non diamo almeno un “OK”. Quindi, se è successo qualcosa di brutto, quasi sicuramente abbiamo aperto l’allegato di una mail, oppure seguito un link da un messaggio su Facebook, aperto un banner “strano” e così via. La buona notizia è che c’è una regola d’oro che ci permette di evitare quasi tutti questi rischi, cioè:

Se qualcosa di sembra anomalo o inusuale, NON FACCIAMO NULLA e chiediamo a qualcuno più esperto. Si, vale anche nel caso in cui il banner, la finestra o la mail ci annunciano catastrofi. Ecco alcuni esempi di casi strani e comportamenti da tenere:

  • Se l’amico Gigi il Bestia, noto per non distinguere un computer da un forno a microonde e parlare solo l’italiano e il dialetto, improvvisamente ci manda una mail in inglese o in tedesco con un allegato, possiamo scommettere che si tratta di un virus o qualcosa di simile.
  • La signorina avvenente o il ragazzo muscoloso che ci contattano su Facebook, che hanno sei amici e il profilo creato da venti minuti, sono ovviamente bot che sono li per fare qualcosa ai nostri dati e al nostro profilo. Vale anche per chi è molto gettonato sui social.
  • Se ci viene annunciato un premio da riscuotere a una lotteria a cui non abbiamo partecipato, in una lingua che non è la nostra, cliccando possiamo vincere solo un gran mal di stomaco e un giro dal nostro tecnico di fiducia.
  • No, non avete vinto uno smartphone di ultima generazione “cliccando qui”. E’ sempre fuffa.

La regola d’argento: il computer deve essere aggiornato

Secondo i principali analisti, la prima causa di diffusione di WannaCry e degli altri malware di questa “specie”, sono i computer sui quali è presente una versione non aggiornata di Windows 7. Ecco perché gli aggiornamenti automatici di Windows e degli altri sistemi operativi, per quanto possano rubare tempo, risorse e connessione, devono sempre essere effettuati tempestivamente.

Antivirus: meglio aggiornato e affidabile

Ammettiamolo: adesso che dei malintenzionati ci chiedono 300 dollari per i nostri dati, stiamo rivalutando le poche decine di euro l’anno investite in un antivirus a pagamento. E anche se è vero che non esiste un antivirus sicuro al 100% è anche vero che, quando si tratta di protezione, chi più spende meno spende.

Facciamo sempre una copia dei dati più importanti

Che si tratti di documenti contabili o di fotografie a cui siamo affezionati, è sempre meglio fare una copia dei nostri dati. Come abbiamo visto, Google Drive, Dropbox o altri sistemi in Cloud sono perfetti, perché fanno le copie in automatico. Ma se preferiamo avere tutto sotto controllo, va benissimo anche un software di backup o, in modo più artigianale, una copia dei nostri dati fatta periodicamente su un disco esterno. Ricordiamoci però di non lasciarlo sempre collegato, ma di riporlo quando le copie sono finite.

Attiviamo le versioni precedenti di Windows

I detrattori sostengono che questa soluzione “mangia” spazio dal nostro disco fisso, ed è vero. Ma è anche il modo più rapido per recuperare i nostri dati se ci prendiamo un brutto malware o se qualcosa va storto. Quindi, ne vale la pena. Ecco come fare: le schermate si riferiscono al vecchio Windows 7 Professional, ma la procedura vale per la maggior parte dei sistemi Windows degli ultimi dieci anni.

  • Apriamo il Pannello di Controllo, poi Sistema e Sicurezza e infine Sistema
  • Nel menu a sinistra scegliamo Protezione sistema
  • Nella finestra che si apre, facciamo clic su Configura nella scheda Protezione sistema
  • attiviamo Ripristina impostazioni di sistema e versioni precedenti dei file e assegniamo una quantità congrua di spazio su disco a questa funzione: sarebbe meglio dal 5 al 10%.

ripristino versioni precedenti