L'accesso controllato alle cartelle di Windows Defender è una funzione di protezione aggiuntiva che permette solo a determinate applicazioni, sicure o autorizzate da noi, di andare a modificare/creare/cancellare i file in alcune cartelle. Se un malware, in genere uno dei tanti virus ransomware/cryptolocker, attacca una di queste cartelle e cerca di modificarne il contenuto, Windows Defender interviene e lo blocca.
Sono ormai alcuni anni che il pericolo dei virus ransom, o cryptolocker, affligge gli utenti del Web, un click su un link sbagliato, l'apertura di un documento o un PDF infetto e tutti i vostri file importanti si ritrovano ad essere criptati e irrecuperabili, forse, per sempre. Le soluzioni di sicurezza, aggiuntive al nostro antivirus, che ci proteggono dalla criptazione dei dati sono così molto gradite. CyberSight RansomStopper è un programma disponibile in versione gratuita per privati e scuole, è in lingua inglese e deve essere installato.
La sola protezione dell'antivirus, in particolare contro tutti i malware zero-day (cioè tutti quelli nuovi e non ancora inseriti nelle definizioni per essere riconosciuti e bloccati), molto spesso non basta più, il livello di complessità di una infezione da virus è sempre più alto e le azioni compiute sono tante. Il classico virus di una volta, che si metteva soltanto in esecuzione automatica per rubarvi le password digitate, non dico che non esista più, ma ora sono in grado di fare praticamente di tutto nel vostro computer.
Cryptolocker è una parola che negli ultimi anni abbiamo imparato a conoscere bene, molte persone per aver perso (a volte per sempre) i propri dati, perché criptati dal virus, altri per aver cercato qualsiasi metodo per prevenire e proteggere il sistema operativo. Questa volta vorrei parlarvi di 360 Document Protector, definito "The Ransomware Terminator", un programma che si occupa di fare un backup, in tempo reale, dei tipi di file indicati nella configurazione, per proteggerli dalla criptazione operata da questo tipo di virus.
I virus ransomware e cryptolocker sono diventati il vero incubo degli ultimi anni, basta ricevere una mail con un link malevolo o l'allegato di una presunta fattura, per rischiare, con un clic, di perdere tutti i documenti importanti a seguito della loro criptazione. L'antivirus, in molti casi, non basta, si tratta di virus zero-day, con un riconoscimento basso o nullo da parte dei software di protezione. Così ci vuole dell'altro se volete sentirvi maggiormente sicuri. Vediamo alcuni programmi che garantiscono, o almeno ci provano, una protezione aggiuntiva.
Negli ultimi tempi un metodo molto utilizzato per diffondere il virus cryptolocker è quello di allegare alle mail un file Word o Excel spacciandolo per una fattura o qualche documento importante da leggere. Vediamo di analizzare meglio il comportamento di questi "importanti" documenti.
Visto l'alto numero di mail che arrivano e tentano di infettare il computer con il virus cryptolocker, nelle sue diverse varianti, molte persone mi chiedono come riconoscere questi messaggi per evitare di aprirne gli allegati pericolosi.
Malwarebytes anti-ransomware è un programma in versione Beta, quindi potenzialmente non del tutto stabile e funzionante, che dovrebbe riuscire a bloccare ed eliminare i virus della grande famiglia dei ransomware e cryptolocker.
Kaspersky Anti-Ransomware Tool for Business è un programma gratuito che può affiancare, ma non sostituire, il vostro normale antivirus, non è necessario che sia della Kaspersky, e neutralizzare tutti i malware di tipo ransomware che vanno a bloccare il sistema operativo, o ne criptano i dati personali, cercando di costringervi a pagare un riscatto per poter ripristinare il computer e i documenti.
360 Total Security è un antivirus, ma non solo, sviluppato in Cina, offre sino a cinque motori si scansione (disattivabili a richiesta), si può scaricare come suite di utility e programmi, in versione Total Security, o con il solo antivirus nella versione Essential, è gratuito e in lingua inglese.
Presso uno dei clienti dove lavoro ho un indirizzo email che riceve ogni giorno qualche decina di mail con allegati predisposti per infettare il sistema operativo con varianti del virus cryptolocker. Le mail erano più o meno sempre le stesse, richieste di consultare qualche documento urgente, debiti o crediti da saldare, testi in inglese sempre piuttosto brevi, da qualche giorno gli allegati erano però cambiati, dimensioni non elevate ma più grandi dei soliti 10 - 20 Kb e all'interno dei file dall'estensione .Wsf oltre ai soliti .Js. Dal ransomware variante Tesla siamo passati a Locky.
Quando un virus del genere cryptolocker attacca il vostro computer, oltre a criptare tutti i vostri file personali, lascia in giro per il disco fisso un numero imprecisato di richieste di riscatto in file di testo, immagini e file Html. Ricercare tutti questi file non è sempre semplicissimo, oltre che veloce e comodo. RansomNoteCleaner lo può fare al vostro posto (o almeno ci prova).
Alcune categorie di virus, in particolare quelli ransomware, hanno il brutto vizio di bloccare l'accesso al vostro computer inserendo nel registro di configurazione delle chiavi di registro che permettono l'avvio automatico del malware, con la partenza del sistema operativo, oppure vanno a disattivare alcune funzioni di Windows per impedirvi di scoprirlo e eliminarlo. Una persona corre così il rischio di trovarsi con il computer bloccato all'avvio, magari con una bella richiesta di riscatto da parte dei truffatori che vi hanno infettato il sistema operativo.
Ogni tipo di documento, immagine, file di qualsiasi genere, può essere aperto e modificato solo da alcuni tipi di programmi che sono ad esso associati per compiere determinate operazioni. Con Privacy Fence, programma distribuito in maniera gratuita, è possibile costruire una lista di tipi di file e associarli con determinati programmi che sono autorizzati ad aprirli/modificarli. Se qualche programma non autorizzato, per esempio un virus cryptolocker, tenta di modificare il file, compare un avviso (anche più di uno) che vi può permette di bloccare quanto accade e capire che qualcosa di non regolare è in corso. Ovviamente, alla comparsa dell'avviso dovete essere in grado di riconoscere il problema, perché se rispondete sempre di Sì (Allow) allora Privacy Fence non può proteggervi.
Abbiamo visto come provare a ripulire un computer infettato dal virus TeslaCrypt, come provare a impedire l'infezione con CryptoPrevent, ora cercheremo di analizzare le varie fasi dell'infezione e di come un virus Cryptolocker attacca il vostro computer e cripta tutti i documenti personali.
CryptoPrevent è un interessante programma, disponibile in versione gratuita anche per ambienti commerciali, ci sono delle versioni a pagamento più ricche di funzioni, che può darvi un grosso aiuto nell'impedire le infezioni di alcuni virus, in particolare quelli della famiglia CryptoLocker.
