Infezione da ransomware significa che i dati sono stati criptati o il sistema operativo risulta bloccato dai cybercriminali. Questi criminali di solito chiedono un riscatto per decriptare i dati. Il ransomware può infiltrarsi in un dispositivo in diversi modi. I più comuni includono infezioni da siti Web dannosi, componenti aggiuntivi indesiderati nei download e spam. Gli attacchi ransomware hanno come obiettivo sia gli utenti privati che le aziende. Si possono adottare diverse misure per proteggersi dagli attacchi ransomware, ma prestare la massima attenzione e scegliere il software idoneo sono sempre i passi fondamentali da compiere. Un attacco ransomware comporta la perdita di dati, costi in denaro elevati o entrambi.
Come scoprire se il vostro computer è infetto? Ecco alcuni modi per rilevare un attacco ransomware:
Infine, una finestra contenente una richiesta di riscatto conferma che è in corso un'infezione da ransomware. Quanto prima viene rilevata la minaccia, tanto più è facile combattere il malware. Il rilevamento tempestivo di un'infezione da trojan di criptaggio può consentire di determinare il tipo di ransomware che ha infettato il dispositivo finale. Molti trojan di estorsione si autoeliminano dopo l'esecuzione del criptaggio e quindi non possono essere esaminati né decriptati.
I ransomware sono in genere di due tipi: ransomware locker e crypto-ransomware. Un virus ransomware locker blocca l'intero schermo, mentre il crypto-ransomware cripta "solo" i singoli file. Indipendentemente dal tipo di crypto-trojan, le vittime di solito hanno tre opzioni:
Il tipo di ransomware e la fase raggiunta dall'infezione da ransomware al momento del rilevamento hanno entrambi un impatto considerevole sulla lotta contro il virus. Non è possibile eliminare il malware e ripristinare i file con ogni variante del ransomware. Ecco tre modi per combattere un'infezione.
Se il ransomware viene rilevato prima della richiesta di riscatto, è possibile eliminare il malware. I dati che sono stati criptati fino a quel momento rimangono tali, ma il virus ransomware può essere fermato. Grazie a un rilevamento tempestivo è possibile impedire al malware di diffondersi in altri dispositivi e file.
Se eseguite il backup dei dati in un dispositivo esterno o nel cloud, sarete in grado di recuperare i dati criptati. Ma cosa potete fare se non avete una copia di backup dei dati? Vi consigliamo di contattare il provider della soluzione per la sicurezza su Internet. Potrebbe già essere disponibile uno strumento di decriptaggio per il ransomware di cui siete stati vittime. Potete anche visitare il sito Web del progetto No More Ransom. Questa pregevole iniziativa del nostro settore è stata creata per aiutare tutte le vittime di ransomware.
Se siete stati vittime di un attacco ransomware di criptaggio dei file, potete seguire questa procedura per eliminare il trojan di criptaggio.
Step 1: Disconnettersi da Internet
Per prima cosa, rimuovere tutte le connessioni sia virtuali che fisiche, inclusi i dispositivi wireless e cablati, i dischi rigidi esterni ed eventuali supporti di archiviazione e account cloud, allo scopo di impedire la diffusione del ransomware nella rete. Se sospettate che siano state colpite altre aree, seguite la procedura di backup seguente anche per tali aree.
Step 2: Eseguire un'analisi con il software per la sicurezza su Internet
Eseguite una scansione anti-virus con il software per la sicurezza su Internet installato, allo scopo di identificare le minacce. Se trovate file pericolosi, potete eliminarli o metterli in quarantena. Potete eliminare i file dannosi manualmente o automaticamente tramite il software anti-virus. L'eliminazione manuale del malware è consigliabile solo per gli utenti esperti.
Step 3: Utilizzare uno strumento di decriptaggio del ransomware
Se il computer è stato infettato da un ransomware che cripta i dati, sarà necessario uno strumento di decriptaggio appropriato per ottenere di nuovo l'accesso. Noi di Kaspersky analizziamo continuamente i tipi di ransomware più recenti per poter rendere disponibili gli strumenti di decriptaggio più appropriati per il contrattacco.
Step 4: Ripristinare il backup
Se avete eseguito il backup dei dati su un dispositivo esterno o nel cloud, create un backup dei dati non ancora criptati dal ransomware. Se non avete alcun backup, sarà molto più difficile eseguire la pulizia e il ripristino del computer. Vi consigliamo di creare regolarmente i backup per evitare di trovarvi in questa situazione. Se siete soliti dimenticarvi di queste cose, utilizzate i servizi di backup automatico su cloud oppure impostate un promemoria sul calendario.
Nel caso del ransomware di blocco dello schermo, la vittima deve prima superare la sfida di riuscire ad accedere al software per la sicurezza. Avviando il computer in Modalità provvisoria, è possibile che l'azione di blocco dello schermo non venga caricata e che la vittima riesca a usare il programma anti-virus per combattere il malware.
Pagare il riscatto èin genere sconsigliabile. La linea di non negoziazione che di norma viene seguita nelle situazioni con ostaggi reali dovrebbe essere adottata anche quando a essere in ostaggio sono i dati. Non è consigliabile pagare il riscatto perché non c'è garanzia che gli estorsori manterranno realmente la promessa di decriptare i dati. Inoltre il pagamento finirà per alimentare questo tipo di crimine, che invece dovrebbe essere scoraggiato a qualsiasi costo.
Se siete ugualmente decisi a pagare il riscatto, evitate di eliminare il ransomware dal computer. Infatti, a seconda del tipo di ransomware o del piano previsto dal cybercriminale per il decriptaggio, il ransomware potrebbe essere il solo modo per applicare un codice di decriptaggio. L'eliminazione prematura del software renderebbe inutilizzabile il codice di decriptaggio, acquistato a caro prezzo. Se invece avete effettivamente ricevuto un codice di decriptaggio funzionante, è opportuno eliminare il ransomware dai dispositivi non appena i dati siano stati decriptati.
Ci sono molti tipi di ransomware, alcuni dei quali possono essere disinstallati in pochi clic. Esistono tuttavia anche varianti diffuse del virus, la cui eliminazione è molto più lunga e complessa.
Per eliminare e decriptare i file infetti, sono disponibili opzioni diverse a seconda del tipo di ransomware. Non esiste uno strumento di decriptaggio universale che funzioni per tutte le numerose varianti del ransomware.
Per eliminare correttamente il ransomware, è importante rispondere alle domande seguenti:
Se ad esempio Ryuk è entrato nel sistema attraverso Emotet, il problema va gestito diversamente. Si si tratta di un'infezione causata da Petya, la Modalità provvisoria è un buon modo per rimuoverla. Altre informazioni sulle diverse varianti del ransomware sono disponibili qui.
Nonostante tutte le migliori precauzioni, non si può mai escludere con assoluta certezza un attacco ransomware. Se il peggio dovesse accadere, è possibile limitare le conseguenze dell'attacco adottando un software per la sicurezza eccellente come quello di Kaspersky, preparandosi in modo adeguato e procedendo con attenzione. Tenendo presenti i segnali di avvertimento di un attacco ransomware, potete rilevare e combattere tempestivamente un'infezione. Tuttavia, anche se è stato chiesto un riscatto, avete a disposizione diverse opzioni, tra le quali scegliere quella più adatta alla vostra specifica situazione. Ricordate che eseguendo regolarmente il backup dei dati, sarà possibile ridurre drasticamente l'impatto di un attacco.