Rimozione Ransomware: come liberarsi dai virus blocca PC

Sono tra gli attacchi più comuni nei confronti delle aziende, ma quando si affronta la rimozione di un ransomware, troppo spesso le aziende sottovalutano gli aspetti “nascosti” degli attacchi. Il rischio è quello di lasciare i sistemi esposti ad ulteriori pericoli e incorrere in furti di dati e nuove estorsioni. Predisporre una reazione adeguata richiede un approccio a 360 gradi che consenta di arginare tutti gli effetti negativi dell’attacco.


L’impatto dei ransomware sulle aziende

Nell’ottica di gestire la sicurezza di un’azienda, un attacco ransomware rappresenta un problema enorme. I malware di questo genere sono originariamente progettati per “prendere in ostaggio” i file della vittima e chiedere un riscatto (normalmente in Bitcoin) per la loro “liberazione”. La tecnica usata è quella della crittografia, che rende inaccessibili i dati per chi non possiede la chiave crittografica che ne consente la decodifica. Un attacco del genere su un computer privato, porta normalmente all’impossibilità di accedere ai documenti memorizzati e non comporta problemi dal punto di vista del funzionamento della macchina. Le cose cambiano, però, quando a subire l’attacco è un’azienda. In questo caso, infatti, la crittografia dei dati conservati sui sistemi dell’impresa comporta il blocco dei servizi e, al di là del recupero dei dati nel medio-lungo periodo, l’attacco si traduce in un danno immediato dal punto di vista operativo.


La rimozione dei ransomware

Nonostante le cronache riportino numerosi casi di aziende che hanno ceduto al ricatto dei pirati informatici, la via del pagamento del riscatto per ottenere la chiave di decodifica e ripristinare i file è assolutamente sconsigliata. I motivi sono numerosi, a partire dalla considerazione legata al fatto che nulla impedisce ai cyber criminali di incassare il riscatto senza poi fornire la chiave di decodifica o cercare di estorcere ulteriori somme di denaro. Non solo: la procedura di decodifica attraverso gli strumenti forniti dagli stessi cyber criminali rappresenta un vero azzardo. Molti di questi malware, infatti, hanno difetti ed errori di programmazione che spesso rendono impossibile il recupero o portano a risultati parziali. Ancor peggio, in alcuni casi la possibilità di decodifica non è affatto prevista.


Duplice scelta

Se la via maestra per ripristinare l’operatività dei sistemi dell’azienda è quella di utilizzare le funzionalità di backup, esiste la possibilità che ci siano delle alternative. Dal momento in cui i ransomware hanno fatto la loro comparsa, infatti, le società di sicurezza hanno cominciato a sviluppare sistematicamente strumenti gratuiti per la decodifica dei file “catturati” dai malware. Si tratta di un’attività che ha visto collaborare tutti gli esperti di sicurezza e che, negli anni, ha permesso di creare un vero e proprio arsenale di strumenti che permettono di scardinare gli algoritmi di crittografia usati dai pirati informatici. Iniziative come “No More Ransom”, che vedono la collaborazione di produttori di antivirus ed Europol, mettono a disposizione di aziende e comuni cittadini questo tipo di strumenti. L’intervento di professionisti della cyber security, però, in un ambito aziendale è indispensabile. Sia per ottimizzare le possibilità di individuare lo strumento più adatto, sia per la sua applicazione.


Con la rimozione non è finita

Con la prima ondata di ransomware, iniziata nel 2015-2016, i pirati informatici hanno adottato una tecnica piuttosto dozzinale: i malware venivano inviati “a pioggia” attraverso messaggi di posta elettronica, sperando nell’impreparazione delle potenziali vittime di fronte a un fenomeno inaspettato. Con il tempo, però, gli autori degli attacchi ransomware diretti alle aziende hanno cambiato il loro modus operandi. L’installazione del malware deve essere considerata adesso come lo stadio finale di un’operazione di infiltrazione più ampia, attraverso la quale i cyber criminali si sono guadagnati l’accesso ai settori critici dell’azienda. Questo significa che la rimozione del ransomware deve essere seguita da una vera e propria “operazione di bonifica” che richiede un’accurata attività di forensica per ricostruire l’anatomia dell’attacco, individuare gli elementi compromessi e “ripulire” i sistemi IT da eventuali backdoor installate dai pirati. Una procedura senza la quale l’incidente non si può in nessun caso considerare chiuso.


New call-to-action