Uno dei maggiori rischi di sicurezza informatici per le aziende negli ultimi anni è la massiccia diffusione di virus di tipo “ransomware”, meglio noti con nomi come Cryptolocker, Locky, TeslaCrypt, Cryptowall, CTB-Locker, ecc…

La grande diffusione di questi virus è dovuta ad alcuni semplici fattori chiave, ovvero la capacità di ingannare gli utenti con email che sembrano perfettamente lecite (ma contenenti il virus in allegato sotto le mentite spoglie di una fattura o di un altro documento) e la difficoltà degli antivirus di individuare in tempo l’attività sospetta messa in atto da questi malware, anche a causa della continua comparsa di nuove varianti degli stessi.

Ma cosa fanno esattamente i ransomware come Cryptolocker? E perché sono stati definiti devastanti per la sicurezza e la conservazione dei dati delle aziende e degli utenti privati?

Ebbene, questi virus fanno una cosa molto semplice: criptano, e quindi rendono inaccessibili (non più “apribili” per intenderci), quasi tutti i file presenti su un computer, e in special modo tutti i file che possono risultare importanti, ovvero file Excel, documenti (.doc, .docx, ecc), immagini JPEG (quindi tutte le fotografie), PDF, file Zip, ecc…

Una volta che il virus avrà criptato questi file, non si potrà più aprirli in nessun modo se non conoscendo la password di cifratura e usando un software che possa farlo grazie a questa. Ad infezione completata, Cryptolocker mostrerà a video una schermata che avverte l’utente che tutti i suoi file sono stati criptati, e che per riaverli dovrà pagare un riscatto entro una certa scadenza. Ecco qui sotto una schermata di esempio:

cryptolocker-come-difendersi-backup

cryptolocker-come-difendersi-backup

Se tutti i nostri file sono stati resi inaccessibili da Cryptolocker, la situazione a questo punto può essere davvero disperata. Si tratta di un fatto ormai accertato che molte aziende decidono di pagare il riscatto (cosa che in alcuni casi può effettivamente permettere di recuperare i propri file), ma prima di passare a questa soluzione estrema, che non fa altro che finanziare criminali senza scrupoli che lucrano sul lavoro delle persone oneste, la cosa migliore da fare è affidarsi ad un’azienda specializzata nel possibile recupero dei file o ad aziende che hanno già avuto casi simili e sanno quindi come agire.

Allo stato attuale delle conoscenze, con molte delle prime varianti di Cryptolocker è possibile affidarsi a servizi che consentono di decriptare e recuperare i file con un spesa minima. Una delle aziende in prima linea contro questo tipo di infezioni e con strumenti che possono consentire il recupero dei file criptati, è Doctor Web, azienda russa che sviluppa il software antivirus Dr.Web. Trovate qui una pagina con diverse informazioni:

http://antifraud.drweb.com/encryption_trojs/?lng=en.

Le linee guida da seguire nel momento in cui ci si accorge di essere stati infettati da un ransomware come Cryptolocker sono le seguenti:

  1. Se ci si accorge che alcuni file sono diventati inaccessibili, ma non è ancora apparsa nessuna finestra di riscatto, il consiglio è quello di spegnere subito il computer, staccarlo dalla rete e staccare qualsiasi disco esterno o altra periferica di salvataggio dati, per evitarne la compromissione. Rivolgiamoci quindi a personale esperto per la pulizia del sistema prima di riavviarlo.
  2. Se l’infezione è già avvenuta ed è apparsa la finestra di riscatto, prendiamo nota dei collegamenti forniti dal virus per pagare il riscatto (come ultima ratio), e procediamo quindi alla rimozione del virus. Anche in questo caso, scolleghiamo qualsiasi periferica di rete o disco esterno o altri dischi che possano essere raggiunti e compromessi dal virus. Scolleghiamo anche il computer dalla rete. Utilizzeremo una chiavetta USB per copiarci eventuali tool di rimozione, pulizia e ripristino.
  3. Procediamo con la rimozione del virus e con il tentativo di recupero dei file. Per questo, potremo affidarci al già citato Dr.Web, oppure ai più noti Kaspersky e Norton/Symantec.
    Ecco i link del sito di Kaspersky e di altri tool per la rimozione del virus e per il possibile recupero dei file mediante decrittazione:

http://support.kaspersky.com/viruses/disinfection/8005

https://noransom.kaspersky.com/

Una ulteriore scansione e rimozione potrebbe essere quindi effettuata con Norton Power Eraser:

https://security.symantec.com/nbrt/npe.aspx

A seguito di questo, premuniamoci subito da possibile re-infezioni usando degli strumenti di monitoring più “aggressivi” per possibili attività malevole come quelle tipiche dei ransomware.

Uno di questi, spesso consigliato, è HitmanPro.Alert:

http://www.surfright.nl/en/cryptoguard.

 

Abbiamo sin qui parlato della situazione peggiore, ovvero di quella in cui tutti i nostri file sono (“temporaneamente”) perduti e non abbiamo nessuna copia di riserva degli stessi. Questo ci mette nella condizione di doverci affidare a degli esperti di recupero dati, o comunque di dover utilizzare strumenti appositi per la rimozione di Cryptolocker e la decrittazione dei file. Infine, se tutto questo non dovesse funzionare, avremmo come ultima possibilità solo quella di pagare un riscatto e sperare che gli hacker che hanno confezionato il virus siano ancora “raggiungibili”, che non siano stati arrestati o i siti oscurati (in tal caso è bene informarsi su eventuali recenti operazioni di polizia, che possano in qualche modo aver avuto accesso ai sorgenti dei virus e quindi alle chiavi per la decrittazione).

In questo articolo vogliamo tuttavia parlare anche di prevenzione, ovvero dei modi con cui proteggersi da Cryptolocker e da tutti gli altri ransomware in modo che un eventuale attacco non blocchi la nostra azienda e non ci faccia perdere tutti i nostri dati personali. Sicuramente il modo migliore per uscire indenni da una infezione ransomware è avere pianificato per tempo una accurata ed efficace strategia di backup dei dati. In questa seconda parte dell’articolo daremo quindi alcuni consigli su come fare un backup nel migliore dei modi con Iperius Backup. Abbiamo pensato di esporlo in modo chiaro e schematico attraverso le seguenti domande e risposte:

 

  • Quali tipologie di backup sono consigliate per poter recuperare i file a seguito di un attacco di Cryptolocker?
    Innanzitutto i backup fuori sede, ovvero i backup online su Cloud e FTP, perché queste destinazioni non sono raggiungibili dal virus. Quindi i backup su supporti esterni rimovibili, come dischi USB e cartucce RDX, che possono essere sostituite a rotazione con cadenza mensile e portate in un luogo esterno all’azienda, risultando utili anche in caso di furti o disastri ambientali. Scegliamo sempre due o più destinazioni per il nostro backup, con operazioni e pianificazioni diverse. Iperius può eseguire backup online su Google Drive, Dropbox, OneDrive, Amazon S3, Azure e qualsiasi server FTP.

Consulta i seguenti tutorial:

http://www.iperiusbackup.net/?s=cloud&lang=it

http://www.iperiusbackup.net/backup-ftp-incrementale-iperius-online-storage/

http://www.iperiusbackup.net/come-fare-un-backup-ftp-incrementale-upload-con-iperius/

 

  • Con che cadenza devo pianificare il backup?
    La raccomandazione fondamentale è di creare diverse operazioni di backup, con pianificazioni diverse. Ci deve essere infatti un backup giornaliero, ma anche un backup settimanale e mensile. Questo per evitare che, nel caso si verifichi una infezione, i backup precedenti vengano inavvertitamente sovrascritti con le copie criptate dei file (quindi per avere un margine di tempo per accorgersi dell’infezione).

Consulta i seguenti tutorial:

http://www.iperiusbackup.net/come-impostare-la-pianificazione-per-il-backup-automatico-con-iperius/

 

  • Che modalità di backup utilizzare?
    Il consiglio è quello di effettuare dei backup giornalieri con la modalità Completo + Incrementale o Completo + Differenziale (per avere uno storico dei file modificati), e dei backup settimanali e mensili che fanno inizialmente un backup completo e successivamente aggiornano questo backup solo con i file nuovi o modificati. Questo tipo di backup può essere fatto su destinazioni FTP/SFTP, dischi esterni, RDX, NAS, server o computer in rete. Anche il backup su Tape (esempio: LTO) sono consigliati, specie nelle realtà aziendali e server, poichè su un media non accessibile da questi virus.
    Infine, è assolutamente raccomandato effettuare anche un backup immagine (drive image), ovvero un backup completo dell’intero disco con cadenza settimanale o mensile, sia perché ci consente di ripristinare in poco tempo tutto il sistema pulito, sia perché il backup immagine, essendo un file di grosse dimensioni, non viene compromesso dal virus.

Consulta i seguenti tutorial:

http://www.iperiusbackup.net/tipi-di-backup-di-iperius-completo-incrementale-differenziale/

http://www.iperiusbackup.net/backup-immagine-disco-drive-image-windows/

 

  • So che il virus può raggiungere anche le cartelle di rete. Come proteggere il NAS dove effettuo il backup?
    La domanda è molto importante. Ci sono diversi modi per proteggere un NAS dall’ingresso di un virus ransomware come Cryptolocker. Si può ad esempio scegliere di non condividere in rete nessuna cartella del NAS, e usare invece il suo server FTP. Con Iperius è possibile configurare un backup di tipo FTP sul NAS. In questo modo il NAS non sarà i nessun modo accessibile al virus.
    Oppure, volendo mantenere le condivisioni di rete del NAS, si dovrà fare in modo che solo uno specifico utente possa avere permessi di scrittura nelle sue cartelle. Si può quindi creare un account specifico per il backup su Windows o in Active Directory per i computer che sono in un dominio, quindi usare questo account per far girare il servizio di Iperius (o per l’impersonamento del processo di Iperius), che si occupa di eseguire i backup pianificati. In questo modo, solo Iperius potrà accedere in scrittura alle cartelle del NAS (dove ovviamente avremo dato i diritti di scrittura delle cartelle condivise solo a quell’utente).

Consulta i seguenti tutorial:

http://www.iperiusbackup.net/installazione-iperius-backup-come-servizio-windows/

http://www.iperiusbackup.net/come-fare-backup-su-nas/

 

Una nuova opzione per proteggere i backup da Cryptolocker

Infine, a partire dalla versione 4.5.2 di Iperius, è stata introdotta una nuova importantissima opzione, che consente di rilevare la presenza di file corrotti o criptati da virus ransomware prima di fare il backup. Questa scansione intelligente dei file protegge i backup precedenti dall’essere sovrascritti da copie compromesse dei file, e li preserva quindi dall’attacco del virus. Nell’immagine sottostante vediamo come abilitare questa opzione:

ransomware-iperius-backup-cryptolocker-protection

ransomware-iperius-backup-cryptolocker-protection

 

 

Alcune ulteriori informazioni sui ransomware:

https://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx

 

Download Iperius Free

(Inglese, Francese, Tedesco, Spagnolo, Portoghese, Brasile)



Cryptolocker e altri ransomware: come difendersi con Iperius Backup
Iperius Backup Team

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>