Perché hai bisogno della protezione da ransomware
Il malware è disponibile in molti gusti.
I trojan si mascherano come programmi validi mentre rubano segretamente i tuoi dati.
I bot arruolano il tuo PC in un esercito di zombi, da usare contro qualsiasi bersaglio desideri il pastore di bot.
E il ransomware crittografa i tuoi file essenziali, quindi richiede denaro contante per ripristinarli.
Di tanto in tanto un nuovo attacco può superare il tuo antivirus, ma in genere un aggiornamento per risolvere il problema viene visualizzato entro pochi giorni o addirittura ore.
Non è bello avere un virus o un Trojan che infesta il tuo PC, devastare per alcuni giorni e poi essere eliminato da un aggiornamento antivirus, ma è sopravvissuto.
Quando si tratta di ransomware, però, la storia è diversa.
I tuoi file sono già crittografati, quindi eliminare l'autore del reato non ti fa bene e può persino interferire con la tua capacità di pagare il riscatto, se scegli di farlo.
Alcuni prodotti per la sicurezza includono livelli di protezione specifici per il ransomware e puoi anche aggiungere una protezione specifica per il ransomware come supporto per la tua sicurezza esistente.
È anche peggio quando la tua azienda viene attaccata da un ransomware.
A seconda della natura dell'attività, ogni ora di perdita di produttività potrebbe costare migliaia di dollari o anche di più.
Fortunatamente, mentre gli attacchi ransomware sono in aumento, lo sono anche le tecniche per combattere tali attacchi.
Qui esaminiamo gli strumenti che puoi utilizzare per proteggerti dal ransomware.
Che cos'è il ransomware e come si ottiene?
La premessa del ransomware è semplice.
L'aggressore trova un modo per prendere qualcosa di tuo e richiede il pagamento per il suo ritorno.
La crittografia del ransomware, il tipo più comune, porta via l'accesso ai tuoi documenti importanti sostituendoli con copie crittografate.
Paga il riscatto e ottieni la chiave per decrittografare quei documenti (speri).
Esiste un altro tipo di ransomware che nega qualsiasi utilizzo del computer o del dispositivo mobile.
Tuttavia, questo ransomware screen locker è più facile da sconfiggere e semplicemente non rappresenta lo stesso livello di minaccia della crittografia del ransomware.
Forse l'esempio più pernicioso è il malware che crittografa l'intero disco rigido, rendendo il computer inutilizzabile.
Fortunatamente quest'ultimo tipo è raro.
Se sei colpito da un attacco ransomware, all'inizio non lo saprai.
Non mostra i soliti segnali di presenza di malware.
La crittografia del ransomware funziona in background, con l'obiettivo di completare la sua brutta missione prima di accorgersi della sua presenza.
Una volta terminato il lavoro, ti viene in faccia, mostrando le istruzioni su come pagare il riscatto e riavere i tuoi file.
Naturalmente gli autori richiedono un pagamento irrintracciabile; Bitcoin è una scelta popolare.
Il ransomware può anche istruire le vittime ad acquistare una carta regalo o una carta di debito prepagata e fornire il numero della carta.
Per quanto riguarda il modo in cui contraggono questa infestazione, molto spesso accade attraverso un PDF infetto o un documento di Office inviato in un'e-mail che sembra legittima.
Potrebbe persino sembrare che provenga da un indirizzo all'interno del dominio della tua azienda.
Questo sembra essere quello che è successo con l'attacco ransomware WannaCry alcuni anni fa.
Se hai il minimo dubbio sulla legittimità dell'email, non fare clic sul collegamento e segnalalo al tuo reparto IT.
Ovviamente, il ransomware è solo un altro tipo di malware e qualsiasi metodo di recapito del malware potrebbe portartelo.
Ad esempio, un download drive-by ospitato da un annuncio dannoso su un sito altrimenti sicuro.
Potresti persino contrarre questo flagello inserendo un'unità USB inventata nel tuo PC, anche se questo è meno comune.
Se sei fortunato, la tua utility di protezione dal malware lo rileverà immediatamente.
In caso contrario, potresti essere nei guai.
CryptoLocker e altri malware di crittografia
Fino al massiccio attacco WannaCry, CryptoLocker era probabilmente il ceppo ransomware più noto.
È emerso diversi anni fa.
Un consorzio internazionale di forze dell'ordine e agenzie di sicurezza ha eliminato il gruppo dietro CryptoLocker, ma altri gruppi hanno mantenuto in vita il nome, applicandolo alle proprie creazioni dannose.
Un campo in diminuzione
Diversi anni fa, era possibile scegliere tra una dozzina di strumenti di protezione ransomware autonomi da società di sicurezza dei consumatori e molti di questi strumenti erano gratuiti.
La maggior parte di questi sono scomparsi da allora, per un motivo o per l'altro.
Ad esempio, Acronis Ransomware Protection era uno strumento autonomo gratuito, ma ora appare solo come un componente del software di backup dell'azienda.
Allo stesso modo, Malwarebytes Anti-Ransomware ora esiste solo come parte del Malwarebytes Premium completo.
Per quanto riguarda Heilig Defense RansomOff, la sua pagina web dice semplicemente "RansomOff tornerà ad un certo punto".
Alcuni strumenti di protezione ransomware provengono da società di sicurezza aziendale che hanno deciso di fare un servizio al mondo offrendo solo il loro componente ransomware come omaggio per i consumatori.
E anche alcuni di questi sono caduti nel dimenticatoio, poiché le aziende scoprono che il prodotto gratuito consuma risorse di supporto.
Ad esempio, CyberSight RansomStopper non è più con noi e anche Cybereason RansomFree è stato interrotto.
Bitdefender Anti-Ransomware è scomparso per una ragione più pratica.
Finché esisteva, ha adottato un approccio insolito.
Un aggressore ransomware che ha crittografato due volte gli stessi file rischierebbe di perdere la capacità di decrittografarli, quindi molti di questi programmi lasciano una sorta di marcatore per evitare il doppio tuffo.
Bitdefender emulerebbe i marker per molti tipi di ransomware ben noti, in effetti dicendo loro: "Vai avanti! Sei già stato qui!" Questo approccio si è rivelato troppo limitato per essere pratico.
Anche CryptoDrop sembra essere svanito, sebbene il suo sito web rimanga.
Ripristino da ransomware
Anche se il ransomware supera il tuo antivirus, è probabile che in breve tempo un aggiornamento dell'antivirus cancella l'aggressore dal tuo sistema.
Il problema è, ovviamente, che la rimozione del ransomware stesso non recupera i tuoi file.
L'unica garanzia affidabile di ripristino è mantenere un backup cloud rinforzato dei file importanti.
Anche così, c'è una debole possibilità di recupero, a seconda del ceppo di ransomware che ha crittografato i tuoi file.
Se il tuo antivirus (o la richiesta di riscatto) ti dà un nome, è di grande aiuto.
Molti fornitori di antivirus, tra cui Kaspersky, Trend Micro e Avast, mantengono una raccolta di utilità di decrittografia una tantum.
In alcuni casi, l'utilità richiede l'originale non crittografato di un singolo file crittografato per sistemare le cose.
In altri casi, come TeslaCrypt, è disponibile una chiave di decrittazione principale.
Ma in realtà, la migliore difesa contro il ransomware consiste nel impedirgli di prendere in ostaggio i tuoi file.
Esistono diversi approcci per raggiungere questo obiettivo.
Strategie anti-ransomware
Un'utilità antivirus ben progettata dovrebbe eliminare il ransomware a vista, ma i progettisti di ransomware sono complicati.
Lavorano duramente per aggirare sia il rilevamento del malware basato sulle firme della vecchia scuola sia le tecniche moderne più flessibili.
Basta un errore del tuo antivirus per consentire a un nuovo attacco ransomware sconosciuto di rendere inutilizzabili i tuoi file.
Anche se l'antivirus ottiene un aggiornamento che rimuove il ransomware, non può ripristinare i file.
Le moderne utilità antivirus integrano il rilevamento basato sulle firme con una qualche forma di monitoraggio del comportamento.
Alcuni si affidano esclusivamente alla sorveglianza di comportamenti dannosi piuttosto che alla ricerca di minacce note.
E il rilevamento basato sul comportamento specificamente mirato ai comportamenti ransomware correlati alla crittografia sta diventando sempre più comune.
Il ransomware in genere insegue i file archiviati in posizioni comuni come il desktop e la cartella Documenti.
Alcuni strumenti antivirus e suite di sicurezza contrastano gli attacchi ransomware negando l'accesso non autorizzato a queste posizioni.
In genere, pre-autorizzano programmi noti come elaboratori di testi e fogli di calcolo.
Ad ogni tentativo di accesso da parte di un programma sconosciuto, chiedono all'utente se consentire l'accesso.
Se quella notifica viene fuori dal nulla, non da qualcosa che hai fatto tu stesso, bloccala!
Ovviamente, l'utilizzo di un'utilità di backup online per mantenere un backup aggiornato dei file essenziali è la migliore difesa contro il ransomware.
Innanzitutto, estrai il malware incriminato, forse con l'aiuto del supporto tecnico della tua azienda di antivirus.
Una volta completata tale attività, è sufficiente ripristinare i file di backup.
Tieni presente che alcuni ransomware tentano di crittografare anche i tuoi backup.
I sistemi di backup in cui i file di backup vengono visualizzati in un'unità disco virtuale potrebbero essere particolarmente vulnerabili.
Rivolgiti al tuo provider di backup per scoprire quali sono le difese del prodotto contro il ransomware.
Rilevamento del comportamento del ransomware
Durante il suo ciclo di vita, l'utility gratuita RansomFree di Cybereason aveva un solo scopo: rilevare e scongiurare attacchi ransomware.
Una caratteristica molto visibile di questa utility era la creazione di file "esca" in posizioni tipicamente prese di mira dal ransomware.
Qualsiasi tentativo di modificare questi file ha innescato una rimozione del ransomware.
Si basava anche su altre forme di rilevamento basato sul comportamento, ma i suoi creatori erano naturalmente riluttanti a offrire molti dettagli.
Perché dire ai cattivi quali comportamenti evitare? Purtroppo, il mantenimento di questo prodotto gratuito per i consumatori si è rivelato poco pratico per l'azienda incentrata sulle imprese.
Kaspersky Security Cloud Free e molti altri utilizzano anche il rilevamento basato sul comportamento per eliminare qualsiasi ransomware che supera il tuo normale antivirus.
Non usano file "esca"; piuttosto tengono d'occhio il modo in cui i programmi trattano i tuoi documenti reali.
Quando rilevano il ransomware, mettono in quarantena la minaccia.
Check Point ZoneAlarm Anti-Ransomware utilizza anche file esca, ma non sono visibili come quelli di RansomFree.
E chiaramente utilizza altri livelli di protezione.
Ha sconfitto tutti i nostri campioni di ransomware del mondo reale durante i test, correggendo tutti i file interessati e persino rimuovendo le false note di riscatto visualizzate da un campione.
Webroot SecureAnywhere AntiVirus si basa su modelli di comportamento per il rilevamento tutti tipi di malware, non solo ransomware.
Lascia da soli i processi noti ed elimina i malware noti.
Quando un programma non appartiene a nessuno dei due gruppi, Webroot ne monitora attentamente il comportamento.
Impedisce agli sconosciuti di stabilire connessioni Internet e registra ogni azione locale.
Nel frattempo, in Webroot Central, il programma sconosciuto viene sottoposto a un'analisi approfondita.
Se risulta essere dannoso, Webroot utilizza i dati registrati nel journal per annullare ogni azione del programma, inclusa la crittografia dei file.
L'azienda avverte che il database del journal non ha dimensioni illimitate e consiglia di eseguire il backup di tutti i file importanti.
In un recente test, la tecnica del journal-and-rollback di Webroot si è dimostrata totalmente efficace.
Se Trend Micro RansomBuster gratuito rileva un processo sospetto che sta tentando di crittografare i file, esegue il backup del file e continua a guardare.
Quando rileva un processo che esegue più tentativi di crittografia in rapida successione, mette in quarantena il processo, avvisa l'utente e ripristina i file di cui è stato eseguito il backup.
Durante i test, questa funzione ha mancato la metà dei campioni di ransomware del mondo reale che le abbiamo inflitto.
Trend Micro conferma che la protezione da ransomware è migliore con la protezione a più livelli di Trend Micro Antivirus + Security.
Lo scopo principale di Acronis True Image è il backup, ovviamente, ma il modulo Acronis Active Protection di questo prodotto osserva ...
