venerdì 23 dicembre 2016

Proteggere il computer dai ransomware e rendere difficile la vita ai cyber-criminali: 11 consigli

Il 2016 ci lascia una consapevolezza: i ransomware sono qui per restare e la situazione continuerà a peggiorare. Il guadagno ottenuto tramite i ransomware dai cyber-criminali sta assumendo dimensioni sempre più elevate e, guardando un pò l'andamento dei dati, è facile immaginarsi un 2017 costellato di nuovi ransomware e nuove tecniche di infezione. E' sempre più importante non solo avere consapevolezza del problema, ma anche organizzare più livelli di protezione, dalla protezione proattiva fino a sistemi di disaster recovery, passando ovviamente per un solido antivirus. Questo è valido sia per gli utenti home che per le aziende, di qualsiasi dimensione.
Ecco qui alcuni consigli:

1. Assicurati di aver fatto il backup!
Questa accortezza è quella più importante, nonchè l'unico sistema, sicuro al 100% per recuperare i dati una volta che hanno subito la criptazione. La realtà è che se effettui costantemente il backup dei dati, i ransomware più che una minaccia sono solo un fastidio: basterà rimuovere l'infezione, quindi ripristinare i dati da backup. Sfortunatamente non basta aggiungere un hard disk extra al c omputer e eseguire lì il backup dei file. Queesto perchè ormai la maggior parte dei ransomware colpiscono tutti i drive sul pc, inclusi i drive di
rete non mappati e, tavolta, perfino le condivisioni di rete non mappate. Il rischio è di vedersi criptare anche il backup in locale o nella rete. La soluzione migliore è indubbiamente una soluzione di backup in cloud: il fatto che la maggior parte dei backup in cloud non viene mappata sul computer come drive, rende questa soluzione sicurissima. Altrimenti, se non hai alternative al backup in locale, assicurati di disconnettere dal computer l'hard disk extra appena finito di eseguire il backup.

2. Installa una soluzione antivirus o antimalware che abbia sistemi di individuazione comportamentali
Assicurati di avere a disposizione una soluzione antivirus o anti-malware affidabile installata sul tuo computer. Il cyber-crimine sta continuamente incrementando e ormai ogni computer necessita di una buona protezione. Consigliamo un software antivirus che preveda un sistema di individuazione comportamentale, cioè che sia capace di individuare un file dannoso non solo dalla firma che reca, ma anche dalle azioni messe in atto sul computer: un antvirus di tale tipo può individuare e bloccare anche ransomware non ancora conosciuti e/o non inseriti nel database dei virus. 

3. Installa sempre gli aggiornamenti di Windows

Ogni secondo giovedì del mese Microsoft rilascia gli update per Windows. Alcuni di questi update sono update di sicurezza che proteggono il computer da minacce che potrebbero consentire ad un attaccante di eseguire praticamente qualsiasi tipo di comando voglia sul tuo pc. Alcune ransomware infatti vengono distribuiti attraverso alcuni script, chiamati exploit kit, che sfruttano le vulnerabilità di Windows per ottenere l'accesso al computer. Molti aggiornamenti "chiudono" queste falle, queste vulnerabilità. 

4. Mantieni i programmi aggiornati

Esattamente come per Windows, anche altri software hanno vulnerabilità sfruttabili attraverso exploit kit. Spesso i cyber-criminali non tentano l'exploit del sistema operativo, quanto quello di software molto comuni e diffusi come Java, Flash Player, Adobe e così via. E' importantissimo quindi tenere sempre aggiornati anche questi programmi. 



5. Assicurati che i filtri antispam siano attivi e funzionanti
Uno dei più comuni metodi di diffusione dei ransomware sono le email di spam che emulano mail di notifiche giudiziarie, bollette, avvisi di ogni tipo e così via (consulta questa guida sul phishing: vi sono utili consigli per individuare le email di spam)
La maggior parte dei servizi email (Gmail, Oulook, Yahoo ecc...) hanno filtri antispam, ma è possibile agiungerci anche il filtro antispam del proprio antivirus, se questa funzionalità è presente nel software antivirus che avete installato sul vostro computer. 

6.Abilita la visualizzazione delle estensione
Di default Windows non mostra l'estensione dei file mentre guardi una cartella. Questo rende facile, per chi distribuisce i malware, di ingannare gli utent inducendoli a credere che un file eseguibile sia invece un file word, excel o un documento pdf (talvolta anche modificando l'icona di anteprima del file). Una vittima che apre quel file aspettandosi certi contenuti in realtà esegue un programma che installa il malware. Abilitando la visualizzazione dell'estensione dei file sarà più facile individuare i file eseguibili. 


7. Non aprire allegati contenuti in email inaspettate o con mittente non conosciuto

In alcuni casi i ransomware vengono inviati via email sotto forma di allegati. L'apertura dell'allegato (tavolta file word o excel che richiedono l'abilitazione di una macro) comporta l'avvio del downloader del malware e quindi l'infezione del computer. La linea dovrebbe essere quella di non aprire allegati da email inaspettate o dal mittente sconosciuto: se proprio una email vi sembra urgente, eseguite una scansione con l'antivirus. Un'altra possibilità, qualora il vostro software antivirus ne sia dotato, è quella di aprire il file nel sandbox. 

8. Fate attenzione a cosa scaricate online

Talvolta file scaricati gratuitamente da internet riservano una sorpresa: ransomware, ma non solo. La tecnica più comune è quella di "legare" ad un software free l'installazione di un altro software, contenente il malware: oppure, più di recente, al software si lega direttamente il ransomware. Se devi scaricare un programma è importate farlo da siti conosciuti o di cui ti fidi e leggere sempre il contratto allegato, stando bene attenti a togliere le spunte laddove viene richiesto il permesso di installare software aggiuntivi a quello installato. 



9. Rinomina vssadmin
Le Shadow Volume Copies sono usate da Windows per memorizzare automaticamente i backup, o versioni precedenti, dei file su un computer. Questi backup possono quindi essere usati per ripristinare i dati che sono stati cambiati o cancellato. Anche i programmatori di ransomware lo sanno ed è per questo che, ormai in quasi tutti i casi, il ransomware esegue il comando vssadmin.exe al fine di cancellare tutte le Shadow Volume Copies sul computer, affinché sia possibile impedire il recupero dei file. La cosa migliore è rinominare vssadmin, di modo che il ransomware non possa eseguire il comando. 

10.Disabilita Windows Script Host
Alcune infezioni da ransomware avvengono tramite allegati che contentono script in Javascript o VBS. A meno che non esegui normalmente file JS o VBS, è consigliabile disabilitare la possibilità di lanciare questi tipi di script su Windows. 

11. Usa password sicure e fai attenzione al Remote DesktopEvita password facilmente individuabili come 12345 o password o p455w0rd: password più elaborate (insieme di numeri,lettere, simboli) proteggono il tuo computer da accessi non autorizzati e rendono un pò più difficile la vita ai cyber-criminali. Questo perchè alcuni ransomware vengono installati dal'attaccante entrando nella connessione Remote Desktop, sopratutto se protetto da password deboli. Alcuni attaccanti usano script o scanner che cercano computer con Remote Desktop aperti sulla porta TCP di default 3389: cambiando la porta rendi il tuo computer invisibile a questi strumenti. Se non usi il Remote Desktop invece, semplicemente disabilitalo.



Nessun commento:

Posta un commento