Ransomware – modi di infezione e possibili rimedi


Come tutte le minaccie informatiche anche i ransomware ( o cryptovirus ) sono in continua evoluzione, per quanto riguarda il comportamento e i modi di diffusione e di infezione.

Mentre prima l’infezione avveniva tramite allegato email o link maligno, adesso sempre più spesso avviene tramita la violazione della funzionalità di desktop remoto.

 

Nicolino Lodo consulente e tecnico informatico - desktop remoto schermata di login

Il desktop remoto è una delle funzionalità che vengono utilizzate per acquisire il controllo del computer senza essere fisicamente presente alla consolle ; generalmente viene utilizzato per il telelavoro, o per effetture assistenza tecnica e sistemistica sui computer remoti. Tale funzionalità consente di operare sul computer controllato come se si fosse fisicamente seduti alla postazione di lavoro. Nei sistemi più importanti viene anche utilizzato per permettere di utilizzare risorse residenti su server remoti, mediante l’apertura di diverse sessioni (una per utente) in quanto permette di avere prestazioni accettabili anche in presenza di connessioni internet scadenti o sovrautilizzate.

Proprio la diffusione di questa funzionalità., soprattutto nelle strutture di piccole dimensioni, ha portato ad un diffondersi di questo genere di attacchi. L’hacker si infiltra sfruttando una vulnerabilità del sistema operativo o tentando un attacco a forza bruta, cercando cioè di indovinare utente  e password. Una volta “dentro” il sistema installerà il software maligno o metterà questo software in condizioni di partire non appena un utente con credenziali amministrative accederà al sistema.

Una volta attivato, il ransomware, inizierà ad infettare (cryptare) tutti i file ai quali ha accesso, incluse le condivisioni accessibili sulla rete.

Per essere sicuri di provocare il maggior danno possibile, e quindi di ottenere il pagamento del riscatto, l’attaccante provvederà a cancellare il contenuto delle copie shadow (quelle copie di backup create automaticamente da windows) lanciando il comando:

Consullente informatico- diffusione ransomware - cancellazione copie shadow

i ransomware cancellano anche le copie shadow

e alla fine di tutto questo lavoro, come risultato finale ci troveremo con i nostri file criptati ed una richiesta di riscatto contenente le istruzione e l’ammontare della cifra (in BitCoin)

i ransomware cryptano tutti i files del computer

ransomware esempio file cryptati

 

ransomware - dopo la crtptazione dei files appare la videata cn la richiesta di riscatto

ransomware – esempio di richiesta di riscatto

Come facciamo a difenderci  dai ransomware (o cryptovirus)?

Diciamo che, nel caso di infezioni propagate per email o tramite link maligni, serve soprattutto prestare molta attenzione ai contenuti. Per esempio vanno lette con molta attenzione le email e non vanno sottovalutati i sospetti che potrebbero nascere spontanei; ad esempio, molto difficilmente un ente pubblico o on fornitore di energia ci offrirà per email un rimborso. Bisogna anche prestare attenzione durante la navigazione; un tipico esempio sono le infezioni propagate con la scusa di installare un aggiornamento di Adobe reader, Java, o qualche altro software.

Nel caso dei ransomware propagati e diffusi  tramite desktop remoto,  bisognerebbe evitare di rendere accessibili queste connessioni via rete internet. Buona norma sarebbe quindi utilizzare delle VPN per evitare di rendere visibili e, quondi attaccabili, le nostre connessioni. Un’altra buona norma sarebbe quella, al fine di evitare gli attacchi a forza bruta di usare le policy di sicurezza fornite con i sistemi windows :

policy di blocco account per evitare attacco a forza bruta dei ransomware

policy di blocco account

nel caso in esempio, il sistema si bloccherà per 15 minuti se verranno inserite le credenziali errate per 3 volte nell’arco di 15 minuti.

Per il resto, non dimenticate che, salvo rarissimi casi, i file cryptati sono irrecuperabile e, nel caso voi decideste di pagare il riscatto richiesto, state trattando con del criminali e non avte nessuna garanzia che, dopo il pagamento vi saranno restituiti tutti i vostri dati.

E soprattutto non sarete mai certi che, tra i dati che vi saranno restituiti non si celino altre minacce latenti, pronte ad una nuova infezione. La sola sicurezza che avete a vostra disposizione resta sempre e soltanto una valida e attenta strategia di backup.

Non esitate a contattarmi, come tecnico e consulente informatico sono in grado di implementare un sistema di sicurezza che potrà farvi dormire sogni tranquilli.

Nel dubbio, provate a chiedervi :”i miei dati valgono di più o di meno del prezzo di una consulenza per la messa in sicurezza ?“.

 

 

 

 

Lascia un commento