Di Michele Toccagni

Prevenzione e contromisure per CTB-Locker

Sebbene negli ultimi anni il numero di Malware sta crescendo in modo esponenziale, la prassi da seguire per evitare di essere colpiti e malauguratamente infettati sono sempre le stesse, fin dagli albori del primo Virus creato per puro divertimento.

La protezione migliore è sempre, sempre la prevenzione, lo stare attenti e navigare in maniera conscia. Successivamente verranno gli antivirus, i firewall o plugin per browser.

“Il miglior antivirus è situato tra la sedia e la tastiera”

Ci sono persone che non utilizzano nessuna tipologia di antivirus e non hanno mai avuto nessun problema a navigare in tutta tranquillità. Le regole che seguono, e che chiunque dovrebbe seguire,  sono:

  1. Effettuare periodicamente copie di backup dei propri dati sensibili su dischi fissi o in cloud. Addirittura ci sono applicazioni come OneDrive, Dropbox o Windows stessa che li effettuano automaticamente, senza nessun controllo da parte nostra. Nel caso di un backup offline (su disco fisso) è importante scollegarlo una volta finita l’operazione, altrimenti il Ransomware potrebbe attaccarlo e il lavoro sarebbe stato completamente inutile;
  1. Non aprire link o mail di contatti sconosciuti. Il Phising è ormai una tecnica frequente per estorcere denaro o attaccare il computer dell’utente ignaro;
  1. Non aprire allegati di mail da parte di contatti sconosciuti e Se un vostro contatto vi invia un allegato, la prima operazione da effettuare è scaricarlo e, una volta controllato che sia il documento che volevate, potrete aprirlo
  1. Navigare sempre in siti conosciuti. Se non vi fidate di un sito e vorreste controllarne l’affidabilità, ci sono molti siti online che lo permettono, come WebOfTrust;
  2. Scaricate software solamente da siti affidabili e controllati che il software appena scaricato sia effettivamente quello voluto.

WebOfTrust

 

 

Seguiti questi consigli, potrete sentirvi più tranquilli e navigare in maniera molto più sicura. Nel caso voleste essere protetti completamente ci sono diverse tecniche software che vi permetteranno di esserlo:

  1. Se siete utilizzatori di Windows, abilitate la visualizzazione delle estensioni dei file. In questo modo, se un vostro contatto vi invia una mail e voi scaricate il file, vi accorgerete subito che non è un .pdf ma un .pdf.exe!
  1. Utilizzate un Antivirus. Non è essenziale che sia a pagamento, ma che sia aggiornato, funzionante e che tenga protetto il computer perennemente;
  1. Nel caso in cui siate inclini a navigare in siti non sicuri o poco conosciuti, installate nel vostro browser un plugin come AdBlock, Ublock o NoScript. Questi bloccheranno automaticamente richieste maligne da parte dei siti che distribuiscono il Ransomware;
  1. Tenete aggiornato il browser alla versione più recente. Se non avete installato un plugin del punto precedente, con una versione vecchia del browser rischiate di essere infettati;

Se queste poche regole vengono seguite, il rischio di essere infettati diminuirà notevolmente, riducendolo quasi a zero.

Nel remoto caso di un’infezione, non fatevi prendere dal panico e soprattutto non pagate, non subito almeno.

Normalmente il malware crea una copia criptata di ogni file e poi cancella gli originali, quindi se non si sono fatte altre operazioni invasive è possibile utilizzare un software per il recupero dei file cancellati:

  • La prima cosa da fare è cercare di eliminare il virus tramite antivirus o tools appositi per la rimozione di malware, come Malwarebytes Anti-Malware (molto utile anche nella versione gratuita, in quanto permette di eliminare la maggior parte dei malware che infettano il computer)
  • Cercate di recuperare i dati con il software ShadowExplorer salvandoli in un’altra unità, poiché se doveste scegliere lo stesso volume da cui state tentando di recuperare i file, andreste a sovrascriverli rendendoli irrecuperabili.
  • Per i file non recuperabili usate un programma di undelete, un software che permette di recuperare dati persi, come Recuvao altri equivalenti, quasi tutti gratuiti o professionale come Testdisk\PhotoRec
  • Se avete fatto copie di backup, per risolvere basterà ripristinarle; possono essere utilizzate anche le versioni precedenti del sistema per ripristinare le cartelle e i file danneggiati, modificati o eliminati accidentalmente. I punti di ripristino in genere vengono creati una volta al giorno.

Se nessuna di queste tecniche funziona, è possibile utilizzare i decryptors automatizzati creati dalle aziende AntiMalware, come Ransomware decryptor di Kaspersky. Per trovarle basta una semplice ricerca in rete, fidandovi sempre dei siti da cui prenderete il software.

Sembra che dalle ultime analisi le nuove versioni del virus si premurino di rimuovere tutti i punti di ripristino precedenti, gli shadow file e ciò rende impossibile ripristinare una versione precedente.

Se non si riesce a decriptare i file nemmeno con questi strumenti, le soluzioni che rimangono sono principalmente due:

1) Se i dati sono così importanti (per lo più nel caso di aziende) rivolgersi ad un esperto che provvederà a consigliarvi;

2)Formattare il disco infetto, anche se ciò porterà alla definitiva eliminazione dei file personali.