Dopo un breve periodo di pausa, nelle ultime settimane, hanno ripreso a fare capolino sulle nostre caselle mail le tanto temute email di phishing che contengono al loro interno il tanto temuto virus ramsonware nelle sue più famose varianti.
Ho già parlato di cosa sono i virus Cryptoloker, sono dei programmi che criptano determinati file, impedendoci poi di accedervi e chiedendoci un riscatto per riavervi accesso. Per chi volesse approfondire di più l’argomento può leggere un mio post precedente a questa pagina.
La domanda principale è sempre la stessa. Com’è possiamo proteggerci da questi virus?
Per proteggerci da questi virus, bisogna rispettare sostanzialmente tre regole:
- Un buon antivirus aggiornato, esempio Avast (gratuito), Windows Defender (nella versione AU), quest’ultimo è stato potenziato per rilevare i ramsonware, oppure ancora Kaspersky (a pagamento), ecc;
- avere installati tutti gli ultimi aggiornamenti del sistema operativo e dei programmi installati;
- buon senso nella navigazione su internet e nell’apertura delle mail (veicolo preferito per la trasmissione di questo tipo di malware).
Come si presenta il virus?
Il virus viene principalmente trasportato tramite allegato email, il cui testo è scritto in un italiano mediocre (ma in alcuni casi anche buono) e ci chiede, o di aprire l’allegato, o di fare click sul link per scaricare un qualcosa (???) che servirebbe a risolvere il problema (che in realtà non esiste), esempio minacce di conti bloccati, fatture da saldare, etichette di spedizioni da stampare ecc. Queste mail di phishing puntano molto sul lato psicologico e vanno proprio a sfruttare questo aspetto umano per riuscire ad indurre la vittima a seguire quei determinati passaggi che non fanno altro che avviare l’infezione.
Nell’immagine di esempio sopra riportata, l’email apparentemente proverebbe da un noto corriere che opera in Italia, tuttavia l’indirizzo email non centra nulla con il corriere ma riguarda un comune (???). Nell’oggetto è presente la dicitura *** VIRUS *** questa è stata inserita – in questo caso – da Avast in quanto ha riconosciuto nella mail un allegato contenente un virus, allegato che è stato automaticamente eliminato e l’email segnalata con questa dicitura all’inizio dell’oggetto.
Come ci si accorge che il pc si è infettato?
Ovviamente al momento dell’infezione non si noterà nulla inoltre ricordate che anche ai più esperti potrebbe capitare di rimanere vittime di questi malware, questo per via della raffinatezza che contraddistingue questi attacchi. Chi opera nel campo dei pc avendone esperienza potrà riconoscere l’infezione quasi subito per via di piccoli comportamenti anomali di Windows, esempio l’allegato che si è cercato di aprire non mostra nulla, o mostra per un istante una finestra del prompt dei comandi che poi si richiude subito, refresh del programma esplora risorse, attività intensa del disco rigido, piccoli blocchi o errori vari ecc…
Per chi purtroppo non è esperto e infetta il pc, si accorgerà che il pc è stato infettato solo troppo tardi, quando il virus avrà criptato un buon numero di file, oppure addirittura solo a fatto completamente compiuto, cioè quando il virus mostra i banner che avvisano del malfatto chiedendoci soldi.
Cosa si deve fare una volta scoperta l’infezione?
C’è da dire che quando un file viene criptato non è possibile accedervi senza avere la chiave giusta per decriptarli. Tuttavia non è neanche detto che, sia usando tool specifici sia pagando il riscatto, si riuscirà poi a riavere accesso ai file bloccati.
Quindi il miglior modo per proteggere il nostro PC è la prevenzione, la quale richiede oltre che a rispettare le tre regole scritte all’inizio, anche avere almeno un backup completo e aggiornato dei propri dati.
Le prime due cose da fare una volta riconosciuta l’infezione sono:
- isolare il pc infetto dalla rete (scollegando il cavo di rete o disconnettendosi da internet del caso si usi una chiavetta);
- spegnerlo subito il pc (evitando anche la procedura di spegnimento) staccando se necessario anche il cavo di alimentazione, in quanto ogni secondo è fondamentale.
Dopodiché, l’ideale sarebbe scollegare l’hdd e collegarlo ad un pc sicuro e sempre isolato (non si sa mai) salvare quindi su altro supporto tutti i file ancora accessibili e eseguire una scansione con un buon antivirus del disco infetto e ripulirlo, e solo dopo averlo ripulito ricollegare il tutto e riavviare la macchina.
Se possibile consiglio di reinstallare Windows da zero e poi effettuare una nuova scansione antivirus completa per assicurarci di aver ripulito tutto, a questo punto ripristiniamo il backup dei file e dovremmo aver finito.
Come antivirus consiglio Avast! Free e MalwareBytes da usare insieme per ripulire bene il pc.
