Come prevenire i ransomware

In questi ultimi anni la grave minaccia informatica più diffusa è il ransomware (detto anche cryptolocker). Si tratta di un malware (virus) che crittografa in modo spesso inviolabile tutti i dati del proprio computer chiedendo un riscatto per decifrarli: in molti casi non ci sono soluzioni conosciute. Pagare non è la scelta migliore perché non assicura che i ricattatori rispettino quanto promesso e perché incoraggia i malviventi a replicare il ricatto.

Gli unici due accorgimenti validi hanno un elemento in comune: la prevenzione, analogamente a quanto avviene per i virus biologici. Adottali sempre entrambi.

  1. Non fare clic su link o allegati di messaggi di posta elettronica, tranne quando sei assolutamente sicuro della loro provenienza (non basta il mittente affidabile: deve esserci un motivo per quell'invio) e del loro contenuto (attento agli inganni di finte fatture, multe, ecc.). Non rispondere OK e neppure Annulla quando un link sospetto apre una finestra di opzione: spegnere il computer dall’interruttore è la migliore difesa se non si sa come bloccare la minaccia, oppure chiudere l'applicazione dagli appositi tasti dello smartphone.
  2. Fa’ un salvataggio periodico (almeno mensile, meglio settimanale) dei tuoi dati su una memoria esterna abitualmente non connessa al computer (disco portatile o chiavetta USB). Prima di avviare la copia (che normalmente sovrascrive i dati salvati precedentemente), controlla che i tuoi files siano leggibili e non siano già stati crittografati. Esistono programmi di backup anche gratuiti, ma un metodo semplice di fare la copia esatta di tutto l’albero delle proprie cartelle su un computer Windows è questa sequenza che aggiorna sull’unità esterna solamente ciò che è cambiato, rendendo così rapidissima l’operazione anche per molti dati:
    • Premi il tasto Windows (a forma di finestra) contemporaneamente alla r
    • Scrivi cmd
    • Scrivi robocopy c:\PERCORSOCARTELLADACOPIARE d: /MIR
      dove d: è l’unità esterna dove vuoi memorizzare l'albero di cartelle, che può essere e: oppure f: o altra lettera che scopri dall'elenco delle unità.

Se scopri di essere stato colpito da ransomware, puoi verificare se è presente in https://www.nomoreransom.org oppure https://noransom.kaspersky.com. Se sei fortunato potrai recuperare i tuoi files.

​Se usi Google Drive con sincronizzazione offline (cioè con copia sul tuo computer), il ransomware non crittograferà i files nativi di Google (.gdoc, .gsheet, ecc.) perché questi, sul tuo computer, contengono solamente un riferimento e non il testo dei documenti. Cambiando il nome da .gdoc a gdoc.enc (per esempio), Google non riconoscerà più il file come riferimento valido e non farà nessuna variazione su Drive: quindi non dovresti avere nessun danno. Dovrai andare direttamente su Google Drive per utilizzarli. Invece se usi file tipo .docx, .xlsx, .pdf, ecc., troverai che anche su Drive saranno stati crittografati, ma potrai recuperare la versione precedente (clic destro sul file in Drive e Gestisci versione) a patto di farlo entro 30 giorni dall'infezione. Purtroppo dovrai farlo per ciascun file, a mano. Con Dropbox vale lo stesso criterio.

Ovviamente, prima di recuperare le versioni precedenti dei tuoi files, devi essere sicuro di aver eliminato il ransomware. Puoi farlo lanciando un antivirus da USB o DVD senza far partire Windows come Trend Micro Rescue Disk o Kaspersky Rescue Disk. Più efficace è una formattazione completa profonda del disco e reinstallazione di tutto il sistema operativo e i dati da backup pulito.

L'unica prevenzione efficace a portata di tutti è quindi la copia periodica frequente dei dati su una memoria esterna collegata solo durante la copia, dopo avere verificato che il computer sia pulito e i files leggibili.

Se però usi il formato di documenti di Google (.gdoc, ecc.) con sincronizzazione locale, sulla copia esterna non salvi il contenuto dei files ma solo un riferimento che diventa inutilizzabile quando i documenti su Google Drive sono crittografati dal ransomware. È necessario in questo caso scaricare periodicamente da Google tutti i propri dati tramite https://takeout.google.com/settings/takeout che converte i formati Google in quello che preferisci (OpenDocument oppure Microsoft Office) e conservarli su una memoria esterna abitualmente scollegata: il processo è lento se i dati sono molti e si applica solamente ai files di tua proprietà e non a quelli di altri condivisi con te. Un'alternativa consigliata da Google stesso è un backup cloud protetto come http://www.datto.com/backupify che costa relativamente poco (36 $ all'anno per utente nella versione base).

Su Windows 10 è possibile attivare la protezione ransomware. Cerca queste due parole con la lente d'ingrandimento vicina allo Start e si aprirà una finestra che permette di attivare l'accesso alle cartelle controllato. È efficace ma crea qualche fatica in più ogni volta che si installa un nuovo programma: bisogna dargli permessi speciali rispondendo alle notifiche. Non è difficile e ci dà il tempo di ragionare per capire se il nuovo programma chiede strane e sospette abilitazioni.

Gli antivirus tradizionali e anche quello incorporato in Windows (ottimo, in base ai test recenti dei laboratori specializzati) non sono sufficienti per proteggere da tutti i ransomware ma creano una barriera di primo livello che evita infezioni di altra natura o blocca l'approccio iniziale del programma di crittografia criminale. Non lavorare mai senza un antivirus costantemente aggiornato!

Non trascurare questi consigli altrimenti dovrai piangere sul latte versato.

Ultimo aggiornamento: 
2020-04-06