Cryptolocker e Wannacry sono ormai nomi che abbiamo sentito più volte negli ultimi anni da TG e giornali: sono virus particolari - detti "ransomware" - che attaccano le reti informatiche aziendali e ne bloccano i dati sui computer in cambio di denaro.

Ma siamo sicuri di conoscerli bene e soprattutto di sapere come difenderci?

Lo scopo di Crytolocker & co. è estorcere denaro. I malcapitati sono costretti, una volta che il programma si è infiltrato, a pagare un riscatto per il recupero dei propri dati. Questi virus sono raramente individuati dai normali antivirus, e di conseguenza ci si accorge del danno quando ormai e troppo tardi. A meno di avere qualche backup NON direttamente accessibile dalla macchina infetta, si dovrà pagare per accedere ai propri file nuovamente o rassegnarsi alla perdita: la complessa chiave di decriptazione cifrata rende infatti quasi impossibile recuperare i dati autonomamente.

La diffusione di virus, malware, trojan horse e ramsonware nasce sempre da una scarsa oculatezza dell’utilizzatore delle risorse informatiche o, ancor peggio, di comportamenti contrari ai regolamenti aziendali, come il download di programmi o la visita di siti poco raccomandabili.

Quindi come fare a tutelarsi? Ecco 8 modi per difendersi da Cryptolocker.

1 - ISTRUIRE IL PERSONALE

Il primo passo per tutelarsi da simili software dannosi è che gli utenti della nostra rete siano coscienti di quello che stanno facendo e istruiti sulle meccaniche che sono dietro al funzionamento del computer (nulla di tecnico, ma che si sappia la logica delle cartelle, dei file, dei percorsi, delle estensioni, ecc…).

2 - DIFFIDARE DA DOCUMENTI SOSPETTI

I principali veicoli per i software dannosi sono:

1. e-mail fittizie con finti documenti;
2. software non regolare scaricato da internet;
3. visite a siti dai contenuti dannosi o di dubbia natura.

Nel primo caso attenzione agli allegati: se sto aspettando un PDF non mi deve arrivare un file .SCR .BAT, .COM o .EXE. Per questo è buona norma che le estensioni siano visibili, e soprattutto che l’utente sappia cosa sono.

Nel secondo caso, su sistemi aziendali non dovrebbe essere presente software di questo tipo, ma se per qualche motivo si deve provare del software del genere, allora è opportuno provarlo in un ambiente virtuale (sandbox) che ne impedisca la diffusione sul sistema.

Nel terzo caso come per il secondo è opportuno non consultare siti di questo tipo in una rete aziendale e le precauzioni sono le stesse che per il software di natura incerta.

Se in questi casi la preparazione del personale può non essere sufficiente, è comunque possibile dotarsi di sistemi per la navigazione internet protetta per non farsi trovare impreparati.

3 - TENERE L’ANTIVIRUS E IL SISTEMA AGGIORNATI

Inutile dire che un antivirus non aggiornato è un antivirus inutile, pertanto è buona norma generale che sia aggiornato (e che l’utente sappia come aggiornarlo e verificarne il funzionamento).

Stesso discorso per il sistema e per il firewall: se il primo richiede almeno l’installazione degli antivirus più recenti, quando non direttamente degli aggiornamenti successivi, il secondo deve essere, a seconda dei casi, attivo sulle singole macchine (nel caso di pc isolati) o centralizzato per la rete, e quindi mantenuto da personale qualificato.

In questi casi un buon sistema antivirus e antispam può spesso salvare la situazione. Se poi questo non basta è possibile integrarlo con un apposito sistema anti-cryptolocker capace di riconoscere il virus e bloccare la minaccia in tempo.

4 - PLUG-IN

Lo stesso discorso fatto con i programmi vale per i plug-in dei browser: queste componenti aggiuntive devono essere aggiornate regolarmente e non devono essere presenti componenti invasive o dannose.

5 - DISABILITARE L’AUTOPLAY

Sulle macchine degli utenti andrebbe disabilitato l’autoplay su tutti i dispositivi, questo per impedire l’esecuzione di codice virale nel caso di doppio click su chiavette e affini, ottima cosa insegnare agli utenti l’uso del tasto destro del mouse e dalla relativa voce "Esplora".

6 - UTENTI NON AMMINISTRATORI

Questo è un punto piuttosto controverso. Se da una parte un’utente non-amministratore non può modificare il sistema, dall’altra è una limitazione che spesso rende il lavoro, soprattuto dei tecnici, molto farraginoso.

Inoltre nel caso di Cryptolocker il software lavorerà comunque sui file criptando tutti i contenuti accessibili all’utente, e nel caso di utenza amministrativa o contabile il disastro è comunque inevitabile, indipendentemente se l’utente sia amministratore o meno. 

7 - SOFTWARE REGOLARE

Spesso capita di scaricare da internet software regolare come Acrobat Reader o Flash player, ma bisogna stare attenti ai siti che offrono il download! Se devo scaricare Adobe Reader il sito dovrà essere qualcosa tipo adobe.com e non, per esempio, adobe.sofware.com: il primo è il sito ufficiale Adobe, mentre il secondo è un sito che prpobabilmente ci farà scaricare Adobe Reader lo stesso, ma nascosti insieme ad esso anche vari programmi per la modifica delle preferenze internet o addirittura virus.

8 - BACKUP

I backup dei dati aziendali devono essere regolari e centralizzati in modo da non disperderli su differenti elaboratori e di conseguenza non avere il controllo della situazione.

Inoltre, nel caso di Cryptolocker i backup non devono essere accessibili da alcuna macchina direttamente, in modo che non siano corruttibili da software in rete.

I backup andrebbero eseguiti dal server o dal NAS su un dispositivo con un’unica utenza amministrativa estranea agli utenti.

CONCLUDENDO

La migliore sicurezza, oltre a un lavoro tecnico qualificato e scrupoloso, è un utente cosciente di quello che sta facendo. Essendo questo purtroppo amche il sistema di difesa più difficile da mettere in pratica, la cosa migliore da fare è comunque appoggiarsi a un partner tecnologico competente e proattivo che sappia chiudere a dovere il proverbiale recinto prima che si verifichi il danno.