CryptoLocker: Come difendersi dai virus Ransomware

Negli ultimi mesi si sta diffondendo una nuova e pericolosa minaccia. I virus Ransoware. Queste tipologie di infezioni sono mirate a criptare i dati presenti sul pc e tendono ad espandersi a tutte le share di rete raggiungibili dal pc infetto, per poi chiedere un vero e proprio riscatto per poter ripristinare i file allo stato originario.

I file si presentano con estensioni di vario tipo, ad esempio .ENCRYPTED opppure .ECC o altro ancora e senza la chiave di cifratura in possesso dei malfattori non è possibile recuperare i file. Attualmente le varianti sono molte, uno tra i più famosi è sicuramente il Cryptolocker, ma nel corso del tempo sono emerse nuove varianti, come il CTB Locker.

Le modalità di infezione, bene o male, sono sempre le stesse: una e-mail provenienti da famosi corrieri o da enti pubblici, contenenti una backboor o, come nei più recenti casi di infezione CryptoLocker, con link che rimandano a siti sicuri (La variante più recente si diffonde tramite una mail fasulla di SDA Express Courier). Attualmente quasi nessun antivirus riesce a fermare completamente la minaccia, quindi come possiamo difenderci? Scopriamolo insieme.

Attenzione alle mail da contatti sconosciuti:
Come ogni cosa anche qui vale la regola della cautela e del buon senso. Diffidate da e-mail provenienti da contatti sconosciuti o con evidenti errori grammaticali. soprattutto non aprite allegati se non siete certi della loro provenienza.

Backup, questo sconosciuto:
In ambiento aziendale il backup è una procedura abituale e consolidata. In commercio esistono molti software che svolgono questo compito ed esistono molti supporti: nastro, hard disk, nas di rete, cloud… l’obbiettivo finale è uno solo: avere sempre una copia dei propri dati.

In ambito privato purtroppo il backup non è un pratica così diffusa. Spesso gli utenti non comprendono il reale rischio di non avere una copia dei propri dati. Windows dispone di un suo software di backup integrato, dove potrete trovare la guida completa in questo articolo: Strumenti di Windows 7: Backup e Ripristino di Windows .

Anche nei nuovi S.O. di casa Microsoft Windows 8 e 8.1 è presente un software di backup, anche se è un po' più nascosto e poco funzionale. Si chiama Cronologia File e permettere di copiare determinati dati in modo continuativo su un disco esterno.


Purtroppo non è permesso scegliere altre cartelle da includere nel backup oltre a quelle dello user corrente, perciò è necessario affidarsi a software esterni.

Come è facilmente intuibile ci sono milioni di programmi di backup, sia gratuiti che a pagamento. A mio avviso la scelta deve ricadere su un software che sia in grado di eseguire le immagini del sistema.
In questo post userò il software Veeam Endpoint Backup, scaricabile gratuitamente da questo link.
Questa software offre molteplici funzionalità di backup e di restore.

Installazione e utilizzo di Veeam Endpoint Backup:
Giusto per informazione Veeam è una società informatica a capitale privato che sviluppa software per la gestione di backup, disaster recovery e virtualizzazione negli ambienti VMware e Hyper-V, noi lo usiamo molto nelle nostre strutture private cloud.

Per scaricare il software è necessario registrarsi, dopodiché accettiamo le condizioni di licenza, clicchiamo su Install, e attendiamo il completamento della procedura.


Ultimato il processo il software cercherà di eseguire il wizard per il backup, mettiamo la spunta su Skip this, i will configure backup later e clicchiamo su Next.
La finestra di dialogo successiva chiederà se vogliamo creare un disco di Recovery. Questo passaggio è importante in quanto verrà creata un'immagine DVD per poter operare un ripristino anche in caso di crash totale del sistema. Lasciamo la spunta su Run Veeam Advanced Recovery creation wizard e clicchiamo su Finish.




Selezioniamo il file di destinazione (lettore DVD o ISO) e clicchiamo su Next. Nel caso si scelga di creare un'immagine ISO da masterizzare in un secondo momento selezionare un percorso per il salvataggio e clicchiamo nuovamente su Next. Attendiamo che il processo volga al termine e clicchiamo su Finish.




Siamo pronti per schedulare il backup. Avviamo Veeeam Endpoint dalla tray icon bar e scegliamo la tipologia del nostro backup.
Veeam permette di scegliere tre modalità, come si nota nello Screenshot


Scegliere il backup dell'intero computer è sicuramente il massimo della sicurezza, poiché il sistema creerà un'immagine fedele di tutto il contenuto del nostro hard disk, compresi i files del S.O.
Scegliamo il backup che più ci interessa e clicchiamo su Next.

Scegliamo la destinazione del backup, anche qui sono proposte tre scelte:


In realtà, in un ambiente privato, le scelte sono solo due, disco locale o cartella condivisa. Questo perché la terza opzione prevede una struttura aziendale di backup con il prodotto di punta Veeam Backup e Replication. Se abbiamo scelto di fare il backup dell'intero pc o di alcune partizioni è consigliabile selezionare Local drive.

Nella schermata successiva dovremo selezionare il disco su cui eseguire il backup con il relativo percorso e quanti restore points mantenere.


I restore points indicano semplicemente il numero di copie che si vogliono mantenere in linea dei dati. Naturalmente più punti di ripristino si mantengono più spazio sarà necessario per archiviare i file.
Veeam Endpoint esegui un backup completo ogni 7 giorni, mentre per i giorni intermedi usa la logica dei backup incrementali, perciò è consigliare scegliere sempre multipli di 7.

Come step finale settiamo la schedulazione del backup. Anche qui ci sono molteplici soluzioni.
Possiamo scegliere di eseguire il backup ad un orario prestabilito, quando il computer viene bloccato, quando viene disconnesso oppure quando viene collegata l'unità di backup.


Scegliamo l'opzione che più vicina alle nostre esigenze, clicchiamo su Create e confermiamo il tutto cliccando su Finish.
Ricordiamoci di rimuovere l'unità di backup una volta terminato il processo, altrimenti in caso di infezione anche quei dati rischieranno di essere criptati.

Ripristino dei file con Veeam Endpoint Backup:
Il ripristino dei file è semplice quanto eseguire il backup. Inseriamo l'unità di backup e, dalla tray icon bar, clicchiamo con il tasto destro sull'icona di Veeam e selezioniamo Restore - Individual files. Individuiamo il restore point da cui recuperare i dati clicchiamo su Next e confermiamo con Finish.


Dopo il caricamento verrà mostrato un comodo browser da cui è possibile selezionare i file. Possiamo scegliere se sovrascrivere il file, mantenere la versione precedente o copiarlo in un percorso diverso.


Ad operazione ultimata Veeam ci informerà se tutto è andato per il verso giusto.

Ripristino in caso di crash del sistema:
Se fosse necessario eseguire un ripristino totale dobbiamo far partire il pc con il disco di recovery creato in precedenza. Avviamo il pc e scegliamo come Boot l'unità DVD. Al termine del caricamento scegliamo Bare Metal Recovery.


Gli step successivi sono semplici. Scegliamo l'unità di backup e il restore point da ripristinare, dopodiché selezioniamo la modalità di ripristino.


Non ci resta che attendere il completamento per riavere il pc ripristinato.
Purtroppo in questo tipo di infezioni Ransoware i file criptati non sono più utilizzabili, perciò è bene eseguire i backup il più spesso possibile per evitare perdite di dati.




Condividi su Google Plus

Alessandro Giorgis

Diplomato Perito Elettronico anche se la mia vera passione sono i computer. Attualmente lavoro come Sistemista Windows dove mi occupo sopratutto della gestione delle problematiche legate all'hardware e al software nell'ambito aziendale.

2 Commenti:

  1. E' importante rimuovere il backup dalla macchina altrimenti il ransomware di turno cripta anche quello!

    RispondiElimina
    Risposte
    1. Giusta osservazione Ermanno, di norma i backup non devono MAI essere lasciati collegati alla macchina se non per il tempo necessario alle operazioni di copia. Per i backup su NAS invece è sufficiente usare un account specifico per il backup diverso dal tutti gli altri utenti di sistema :)

      Elimina