Il ransomware è un malware in grado di bloccare un dispositivo o crittografarne il contenuto per estorcere denaro al proprietario allo scopo di ripristinare l’accesso a queste risorse. Questo tipo di malware può anche avere un timer integrato con un termine di pagamento che deve essere rispettato; in caso contrario, il prezzo per lo sblocco dei dati e dell’hardware aumenta – o le informazioni e il dispositivo saranno resi inaccessibili in modo permanente.
I filecoder/ransomware sono infezioni che eseguono la crittografia di file e dati personali. In genere, se una workstation è infetta, il filecoder/ransomware tenterà di crittografare le unità condivise mappate. Tale condizione potrebbe far pensare a una diffusione dell’infezione nella rete, ma non è così.
Mentre i file potrebbero essere crittografati, il sistema potrebbe non essere infetto. Ciò è possibile nel caso in cui venga eseguita la crittografia di un’unità condivisa su un file server, ma il server stesso non contiene l’infezione malware (a meno che non si tratti di un server Terminal).
Altri esempi di filecoder/ransomware noti sono:
Procedure consigliate generali sulla protezione anti-ransomware dei prodotti ESET | Procedure generali anti-ransomware | Recupero di file crittografati
Le versioni correnti dei prodotti ESET utilizzano più livelli di tecnologie per proteggere i computer da attacchi ransomware.
Esempi di queste tecnologie includono Scanner memoria avanzato, Sistema di reputazione® ESET LiveGrid ed Exploit Blocker.
Inoltre, i prodotti ESET più recenti offrono un modulo potenziato di Protezione Botnet che blocca le comunicazioni tra i server ransomware e i server Command and Control (C&C).
Queste due funzioni sono abilitate per impostazione predefinita nei prodotti ESET versione 5 e successive. I nuovi algoritmi ESET potenziano la protezione contro malware che è stata concepita per eludere il rilevamento dei prodotti anti-malware attraverso l’utilizzo di tecniche di offuscamento e/o crittografia.
Lo Scanner memoria avanzato ricerca comportamenti sospetti dopo che i malware hanno annullato il mascheramento nella memoria e l’Exploit Blocker potenzia la protezione contro attacchi mirati e vulnerabilità finora non rilevate, note anche con il nome di “vulnerabilità zero-day”.
Per una protezione ottimale, si consiglia di eseguire l’aggiornamento dei prodotti ESET alla versione più recente:
Utenti privati: quale prodotto ESET possiedo? Si tratta della versione più recente? (Utenti privati)
Utenti Business: possiedo la versione più recente dei prodotti ESET Business?
ESET Cloud Malware Protection System si basa su ESET LiveGrid. Monitora le applicazioni sconosciute e potenzialmente dannose e invia i campioni ai sistemi di sandboxing automatica e di analisi comportamentale.
Assicurarsi che il sistema di reputazione ESET LiveGrid® e il sistema di feedback ESET LiveGrid® siano abilitati e funzionanti nel prodotto ESET.
Utenti privati: Aggiorna i prodotti ESET—ricercare i moduli del prodotto più recenti
Utenti Business: Aggiorna i prodotti ESET Endpoint sulle singole workstation client—ricercare i moduli del prodotto più recenti
La Protezione ransomware nell’ambito di una tecnologia di autoprotezione rappresenta un ulteriore livello di protezione che opera all’interno della funzione HIPS. Per ulteriori informazioni, consultare Protezione ransomware nel glossario ESET e Modalità di configurazione nei prodotti ESET.
Configurare impostazioni aggiuntive per garantire la protezione da attacchi ransomware nei prodotti ESET Business manualmente o utilizzando il criterio ESET PROTECT/ESET PROTECT Cloud
Non aprire gli allegati che dichiarano di essere un fax, una fattura o una ricevuta se hanno un nome sospetto o non si prevedeva di riceverli.
Cosa posso fare per ridurre al minimo il rischio di attacchi malware?
Si consiglia di utilizzare ESET Dynamic Threat Defense
Per garantire la migliore protezione disponibile, è necessario mantenere aggiornati il sistema operativo e le applicazioni. Installare gli aggiornamenti più recenti con priorità elevata offerti nello strumento Windows Update e controllare periodicamente o abilitare la funzione Aggiornamenti automatici. I nuovi aggiornamenti della protezione correggono le vulnerabilità del sistema e riducono il rischio di attacchi malware.
Microsoft ha rilasciato patch per i sistemi operativi Windows correnti e Windows XP allo scopo di ridurre una vulnerabilità critica. Consultare il Microsoft Security Bulletin MS17-010: livello critico per le istruzioni relative all’applicazione di questi aggiornamenti.
Per impedire a un indirizzo IP sconosciuto di eseguire correttamente gli attacchi di forza bruta, si consiglia vivamente di bloccare SMB, SQL e RDP.
I malware basati sulla crittografia accedono spesso alle macchine di destinazione utilizzando lo strumento Remote Desktop Protocol (RDP) integrato in Windows. RDP consente ad altri di effettuare la connessione al sistema da remoto, in modo che l’autore di un attacco possa utilizzare in modo illecito RDP per rimuovere la protezione ed eseguire successivamente la distribuzione del malware.
a) Disabilitare o modificare Remote Desktop Protocol
Se non è richiesto l’utilizzo di RDP, è possibile modificare la porta predefinita (3389) o disabilitare RDP per proteggere la macchina da Filecoder e altri exploit RDP. Per consultare le istruzioni sulla disabilitazione di RDP, consultare l’articolo appropriato della Knowledge Base di Microsoft riportato di seguito:
Per ulteriori informazioni su RDP, consultare il seguente articolo WeLiveSecurity: Accesso non autorizzato a Remote Desktop (RDP) 101: Riesco a visualizzare il desktop da qui.
b) Proteggere con password le impostazioni del prodotto ESET
Se è necessario mantenere RDP in esecuzione e non è possibile disabilitare o modificare le impostazioni di RDP, è possibile utilizzare una password per proteggere il prodotto ESET da modifiche da parte dell’autore di un attacco. Ciò impedisce la modifica delle impostazioni non autenticate, la disabilitazione della protezione o addirittura la disinstallazione del prodotto ESET. Si consiglia di utilizzare una password diversa da quella utilizzata per le credenziali di autenticazione RDP.
I moderni ransomware (filecoder) eseguono la crittografia dei dati utilizzando metodi asimmetrici e vari tipi di crittografia. In breve, i file sono crittografati con una chiave pubblica e non possono essere decrittografati senza la chiave privata associata. Con il ransomware corrente, la chiave privata non è mai posizionata sulla workstation o nell’ambiente interessati. Ciò significa che sarà necessario ripristinare i dati da un backup eseguito correttamente prima dell’infezione.
Se non sono disponibili backup, è possibile tentare di recuperare i file dalle copie Shadow. È possibile utilizzare Shadow Explorer, disponibile nella seguente pagina web: http://www.shadowexplorer.com/downloads.html
Tuttavia, non è insolito che le infezioni ransomware rimuovino le copie Shadow per impedire il recupero dei file.
Quali misure è necessario adottare in caso di infezione da ransomware?