I virus ransomware e cryptolocker sono diventati il vero incubo degli ultimi anni, basta ricevere una mail con un link malevolo o l’allegato di una presunta fattura, per rischiare, con un clic, di perdere tutti i documenti importanti a seguito della loro criptazione. L’antivirus, in molti casi, non basta, si tratta di virus zero-day, con un riconoscimento basso o nullo da parte dei software di protezione. Così ci vuole dell’altro se volete sentirvi maggiormente sicuri. Vediamo alcuni programmi che garantiscono, o almeno ci provano, una protezione aggiuntiva.
Per metterli alla prova ho utilizzato un buon numero di varianti di questo virus, da uno dei più recenti Wannacry a Cerber, CTB-Locker e alcuni altri più o meno recenti.
Gridinsoft anti-ransomware
Gridinsoft Anti-Ransomware è disponibile in versione Beta, e si vede anche dalla grafica abbastanza approssimativa, deve essere installato, mantiene un solo programma attivo in memoria.
Riesce a intercettare solo alcuni dei virus utilizzati, ancora troppo acerbo per valutarlo.
AppCheck Anti-Ransomware
AppCheck Anti-Ransomware è disponibile in versione gratuita, limitata nelle funzioni rispetto a quella commerciale, solo per gli utenti privati. Va installato e lascia un paio di programmi attivi in memoria che si occupano di bloccare i virus quando si attivano e di creare un backup dei documenti prima che vengano criptati.
Già nella versione gratuita dispone di numerose protezioni e possibilità di salvataggio dei dati.
Qui lo vediamo in azione mentre blocca alcuni dei virus.
Dai log possiamo vedere quanto è accaduto nel sistema operativo, non è riuscito a bloccare tutti i virus usati, però ne ha fermati parecchi e la possibilità del backup automatico dei documenti lo rende un programma decisamente interessante di cui seguire lo sviluppo.
AppCheck crea una cartella di backup all’interno di ogni disco fisso interno o USB esterno. Se tento di modificare i file o le cartelle al suo interno non me lo lascia fare, ma da qui posso recuperare una copia del documento originale.
Cybereason Ransom free
Cybereason Ransom free è gratuito e deve essere installato, due i programmi attivi con limitato consumo di memoria RAM.
La cosa più curiosa di questo programma è che crea dei file e delle cartelle sparsi per il computer in modo da “distrarre” (se non ho capito male) il virus e dare il tempo al programma di intervenire e bloccare la criptazione salvando i vostri file più importanti (o almeno una buona parte di essi).
La variante Wannacry viene bloccata, alcuni file, legati al virus, sono stati ormai creati/modificati nel disco fisso, questi vanno rimossi manualmente.
Non riesce a impedire tutti i danni, ma dovrebbe essere in grado di limitare la criptazione.
Altri virus, e attività sospette, bloccate. Per ogni virus è possibile vedere quali file sono cambiati al seguito del suo intervento.
Programma interessante, da rivedere tra qualche mese se riesce a mantenere le promesse.
Hitmanpro Alert
HitmanPro Alert è un programma a pagamento, lo potete provare per trenta giorni, con pochissima memoria RAM consumata riesce a bloccare la criptazione dei file.
In caso di un malware intercettato comparirà un avviso molto chiaro sopra il vostro desktop e potrete prendere le opportune contromisure.
CryptoPrevent
Di CryptoPrevent ci eravamo già occupati in questo articolo, è disponibile in versione gratuita e in una a pagamento, si deve installare ma non rimane attivo in memoria, si limita a creare delle regole che impediscono l’attivazione del virus.
Questo tipo di virus attiva i suoi eseguibili da, quasi sempre, determinate cartelle, di solito interne all’account attivo in quel momento. Con CryptoPrevent si può impedire l’avvio degli eseguibili da queste cartelle così da impedire l’avvio del file e della criptazione dei dati.
La forza, o il limite, di questo programma è che non rimane attivo in memoria, e quindi non pesa sul sistema, ma si limita a creare queste regole di blocco, il problema è che se si scelgono delle regole minime si rischia di lasciar passare qualche virus di troppo, se si alza troppo il livello di protezione si rischia di bloccare qualche programma regolare che agisce dalle stesse cartelle (per esempio l’aggiornamento o l’installazione di qualche software).
Si tratta di trovare il giusto livello di protezione e poi il virus non riesce ad avviarsi.
Conclusioni
Nessuno dei programmi visti in precedenza si dimostra “perfetto”, vuoi perché a pagamento come Hitman Pro Alert, o per una certa difficoltà nell’utilizzo, e fonte di possibili problemi, come CryptoPrevent se non configurato a dovere. Comunque AppCheck Anti-Ransomware e Cybereason Ransom free sono decisamente interessanti, magari non riusciranno a bloccare tutte le varianti di questo virus, ormai ne esistono troppe, però sono da tenere sotto controllo per il futuro.
Una piccola nota finale, non è un anti-cryptolocker vero e proprio, ma anche questa volta Comodo Firewall è riuscito a bloccare praticamente tutti gli eseguibili che ho utilizzato, rimane sempre il mio preferito, anche se a molti può non piacere.