Skip to main content

CryptoLocker, Locky e altri Ransomware: come eliminarli dal sistema e recuperare i file infetti senza pagare il riscatto

A distanza di anni dalla loro prima comparsa sul web la diffusione dei Ransomware di ultima generazione non accenna a diminuire, mietendo ogni giorno numerose vittime in italia e nel mondo. Per chi non sapesse di cosa stiamo parlando, il termine Ransomware viene utilizzato per indicare un particolare tipo di malware che limita l’accesso ovvero impedisce le funzionalità del dispositivo che infetta, richiedendo all’utente un riscatto (ransom in lingua inglese) per rimuovere la limitazione. Nelle recenti implementazioni, particolarmente subdole e – purtroppo – efficaci, il blocco riguarda i file cosiddetti “di lavoro” (documenti, fogli excel, immagini), che vengono criptati con una chiave segreta diventando così inutilizzabili. Il pagamento, solitamente richiesto in BitCoin o  mediante ricariche di carte prepagate poco note e ancor meno tracciabili, avviene tramite una procedura descritta da una schermata che il malware rende disponibile al’utente: una guida che ha lo scopo di guidare il malcapitato all’utilizzo di una serie di programmi (TorBrowser et. al.) che consentono alla transazione di avere luogo in forma assolutamente anonima, consentendo così all’autore della truffa di ricevere i soldi del riscatto al riparo da ogni conseguenza.

Per avere maggiori informazioni sul fenomeno dei Ransomware consigliamo di approfondire l’argomento sulle varie voci Wikipedia dedicate all’argomento ( RansomwareCryptoLocker et. al.): gli amanti delle infografiche troveranno particolarmente interessante questo articolo del sito WhoIsHostingThis, che spiega in termini estremamente semplici e adatti anche ai meno addetti ai lavori cosa è un Ransomware, come può essere riconosciuto e, soprattutto, come può essere evitato. Se invece vi siete imbattuti in questo articolo con la speranza di recuperare i vostri file dopo essere caduti vittima di CryptoLocker, Crypt0l0ckerCTB-Locker, CoinVault, Bitcryptor, Locky, TorrentLocker o una delle loro molte varianti oggi presenti in rete, continuate a leggere.

Al di là dell’esigenza specifica, nel caso in cui siate interessati a mettere in piedi una strategia di prevenzione per voi e per i vostri familiari, colleghi e/o amici, consigliamo anche la lettura dei seguenti articoli di approfondimento:

Approfondisci

Malware, Ransomware, Rootkit, Trojan, Worm: come eliminarli dal proprio sistema

A corredo dell’articolo che spiega come difendersi dalle principali infezioni presenti in rete è opportuno occuparsi anche dell’aspetto più spiacevole, ovvero cosa fare quando – malgrado i nostri sforzi di tenerlo alla larga – il Malware è riuscito a raggiungere il nostro sistema.

Le indicazioni descritte in questo articolo valgono per tutte le tipologie di Malware, compresi i Rootkit e i Ransomware, a patto che questi ultimi non si siano già manifestati: nel malaugurato caso in cui stiate già visualizzando la schermata di riscatto, è opportuno procedere in modo diverso e/o prendere precauzioni aggiuntive come descritto in questo articolo.

Se vedete una schermata come questa, è decisamente il caso di passare all’articolo dedicato ai Ransomware.

Leggi anche:

Approfondisci

Malware, Ransomware, Rootkit, Trojan, Worm: come difendersi?

Il termine malware – crasi di malicious software – viene utilizzato in ambito informatico per indicare un qualsiasi software creato con il preciso scopo di causare danni o effetti indesiderati a un computer, ai dati in esso contenuti o al sistema operativo utilizzato. Nel corso degli ultimi anni la parola ha progressivamente sostituito la definizione di virus, a lungo utilizzata in precedenza e sostanzialmente impropria se utilizzata in modo troppo generico: i virus informatici sono una tipologia particolare di malware, rappresentano cioè una piccola parte di una famiglia molto numerosa che comprende una varietà di tipologie di software dalle caratteristiche anche molto diverse tra loro accomunate dalla finalità descritta sopra: danni o effetti indesiderati, che possono significare malfunzionamenti, perdita di informazioni e/o di operatività, blocco del sistema, acquisizione illecita di informazioni, violazione della propria privacy o anche, più semplicemente, un apparentemente innocuo parassitismo informatico volto ad abusare della connessione o delle interazioni del malcapitato operatore.

Questo articolo, lungi dal proporsi come un rimedio universale per tutte le innumerevoli infezioni che girano in rete, nasce con lo scopo di fornire al lettore alcuni utili consigli sui due aspetti principali della protezione da questo tipo di minacce: la prevenzione e la cura.

Leggi anche: Malware, Ransomware, Rootkit, Trojan e Worm: come eliminarli dal proprio sistema.

Approfondisci

Come bloccare l’accesso a file e cartelle condivise in LAN a uno o più indirizzi IP con Windows

Quella di bloccare l’accesso a file e/o cartelle condivise in rete a uno o più client è un’esigenza piuttosto comune. Le ragioni dietro a questa necessità possono essere varie: aumentare la sicurezza del network, semplificare l’esperienza utente di un operatore particolarmente inesperto, e così via. In ogni caso, discriminare gli accessi sulla base dell’indirizzo IP del client non è quasi mai la scelta migliore. Il Security Model di Windows è da sempre basato sull’autenticazione e autorizzazione dei singoli account, non sugli indirizzi IP. Il motivo principale alla base di questa scelta è dovuto al fatto che l’IP non fornisce sufficienti garanzie di sicurezza, in quanto può essere facilmente alterato – soprattutto in una LAN. Per questo, se vogliamo restringere l’accesso al solo personale autorizzato, la cosa migliore che possiamo fare è utilizzare la ACL di sistema mediante la consueta tab Security contenuta nella finestra pop-up accessibile tramite tasto destro > Proprietà su ogni file e/o cartella da condividere.

Nonostante questo, esistono alcuni casi-limite in cui può avere senso ricorrere a una identificazione basata sull’un indirizzo IP. In questi casi è possibile operare aggiungendo delle regole al Firewall di Windows integrato, o a qualsiasi altro software firewall installato al suo posto, per bloccare l’accesso alle porte TCP utilizzate dalle connessioni SMB-in e/o SMB-out. Per chi non lo sapesse SMB è l’acronimo di Server Message Block, il protocollo di condivisione file e stampanti utilizzato dai sistemi Windows.

Il blocco delle porte può avvenire tramite il firewall installato sui singoli client, assumendo che l’utente oggetto di questa esclusione non abbia le credenziali per poter disabilitare la regola o l’intero firewall, oppure mediante quello installato sulla macchina (o sulle macchine) dove si trovano i file e/o le cartelle condivise che vogliamo bloccare. Come sempre, la scelta migliore è data dallo scenario che ci troviamo ad affrontare: nel caso in cui dobbiamo bloccare gli accessi di una singola macchina a uno o più server può essere consigliabile operare sul firewall del client: al contrario, se dobbiamo bloccare gli accessi di un cospicuo numero di client a un singolo server, agire sul firewall di quest’ultimo potrebbe senz’altro essere la mossa più efficiente.

Approfondisci

Close