Impariamo ad essere resilienti
L’infezione denominata WannaCry, quasi globale, è stata possibile perchè invece del veicolo tradizionale, email o siti malevoli, il trojan Ransomware, conoscituto come Cryptolocker, è stato attivato sfruttando una falla del sistema operativo di Microsoft, scoperta anni prima dall’NSA e non comunicata per tempo, molto probabilmente per sfruttarne le caratteristiche.
In special modo questa falla ha fatto danni su strumentazioni mediche, industriali e sistemi embedded (dove è difficile o impossibile aggiornare il sistema).
Nonostante Microsoft abbia elaborato una patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) e avvisato di aggiornare i sistemi e la fortuna che entro le prime 36 ore dall’infezione, un ricercatore britannico, Darien Huss, abbia attivato il kill switch del trojan, ha fatto danni enormi!
Ma cosa possiamo fare per metterci al riparo da questo tipo di infezioni?
Ma che cosa è un RANSOMWARE?
E’ un Trojan (simile ad un virus ma lo attiva l’utente) chiamato Ransomware, che una volta attivato, cifra e cancella tutti i dati personali del vostro PC, lasciando disponibile solo il file cifrato.
Ricordiamoci bene questo passo, cifra e poi cancella, dopo di chè richiede un riscatto in bitcoin, tramite le istruzioni dettagliate che il Cryptolocker lascia all’utente per incassare il riscatto.
Molto spesso, se il PC che esegue il Trojan è connesso in rete, il Cryptolocker cifra l’intera rete, visibile dall’utente, e se si tratta di un ufficio importante, con perdite significative di fatturato, per ogni giorno di fermo, conviene sicuramente pagare subito il riscatto, che di solito ammonta a circa 600 euro in bitcoin.
Vedi articolo sui Bitcoin per imparare ad utilizzarli:
Va sconsigliato però di pagare, proprio per non alimentare questa pratica e diffusione, in quanto si tratta di estorsione vera e propria, anche se digitale.
Prevenzione
Innanzitutto, il Trojan viene veicolato via email o siti web compromessi, quindi se si fa attenzione si può evitare del tutto l’attacco. Spesso viene inviato con email di richieste di pagamento, con fattura allegata, pagamenti di bollette, note di credito e quanto altro possibile per farvi aprire l’allegato, l’email è talmente ben costruita che è veramente difficile capire che sia una falsa copia, trovate spesso i vostri dati, oppure proviene da un nominativo conosciuto.
Quindi la prima regola è: “Se vi è un file allegato con una delle seguenti estensioni .ZIP .RAR .MSI, .JS e comunque differenti dal .DOC o .PDF”, NON APRITE L’ALLEGATO! Ma cestinatela immediatamente. Eliminate anche l’opzione “Riquadro di lettura” che apre automaticamente l’email. E ripeto attenzione alle estensioni del file allegato, se non vi sentite sicuri, cancellate comunque il file oppure, come dovrebbero avere tutte le aziende serie, preparate un PC proprio per fare questi test.
Il PC in questione deve essere dedicato ai controlli, collegato ad internet MA NON ALLA RETE dell’ufficio.
Ogni email sospetta, inviatela (forward) alla casella di posta che avrete creato appositamente, ad esempio, controllo@tuaemail.it, non dovete fare altro che inoltrare l’email sospetta a questa casella, poi andare sul PC di test, e aprire li l’email della casella di test, anche con l’allegato, in quel caso anche se ci fosse allegato il Trojan Cryptolocker, non farebbe nessun danno, una volta appurato che l’email è genuina allora la potrete aprire anche nella vostra casella email.
Consiglio di installare un buon antivirus sul PC di test, come il MalwareBytes e successivamente fare una copia completa, per ripristinare il sistema in caso i virus o i trojan lo rendano instabile durante i test. I più smaliziati potrebbero creare una macchina virtuale…
Questo PC di test può essere utilizzato anche se si riceve una chiavetta USB o magari si trova e non si sa chi sia il proprietario o meglio il suo contenuto. Prima di inserirla sui vostri sistemi, testatela con un buon antivirus e controllatene il contenuto sul PC di test.
Soluzione migliore, NAS di rete
La soluzione migliore, rimane l’utilizzo di un NAS di rete, ho provato con successo il QNAP, uno dei tanti modelli, questo NAS ha un software che permette di effettuare il backup di tutti i file del vostro PC, di conseguenza di tutti i PC dell’ufficio, mantenendo tutte le versioni del file, qualsiasi modifica fate, potete ritrovare quelle precedenti, un po’ come fa la Time Machine del sistema operativo del Mac di casa Apple. L’applicazione si chiama QSync e permette di tenere il backup sincronizzato, per fare questo non utilizza un percorso di rete ma lo fa con un suo protocollo e quindi il Cryptolocker non lo può vedere e quindi cifrare.
Bene a questo punto, qualsiasi cosa succede ai vostri file, foto, documenti, archivi ecc. in ogni caso, cancellazione accidentale, cifratura di Cryptolocker, disintegrazione della galassia… in qualsiasi momento potrete riavere i vostri file!
Nel caso specifico del Cryptolocker, troverete tutte le cartelle e i file stessi prima che il trojan li cancellasse… dentro il cestino di rete del sistema Qsync. Basterà cliccare, ad esempio, su una cartella, con il tasto destro, all’opzione Qsync, selezionare “Versioni precedenti”, e andare nel cestino.
Il sistema infatti, quando vede sparire i file, mentre sincronizza li sposta in un cestino virtuale.
Selezionateli e cliccate “versione precedente”.
Quindi con una spesa minima, avete risolto tutti i vostri problemi, in caso di incidente, qualsiasi esso sia il vostro business non si fermerà, e in caso di utilizzo privato, i vostri amati file non saranno più persi.
E’ possibile attivare anche una copia in Cloud dei vostri backup, in caso di disastro, potrete recuperare tutto, anche se il vostro NAS va distrutto completamente. Ma cosa fare se il Cryptolocker ha già fatto il suo lavoro e state piangendo dalla disperazione?
Niente paura, anche in questo caso esiste una soluzione!
In caso il Cryptolocker ha già fatto i danni
Bene prima di tutto staccate il cavo di alimentazione del PC, se avete il timore di aver aperto un allegato erroneamente e vedete le icone cambiare sotto i vostri occhi, l’estensione del file cifrato, automaticamente fa cambiare anche la grafica dell’icona, che nel caso di un documento o di un’immagine, la vedrete cambiare in icona generica, e il file cambiare la sue estensione… se succede staccate IMMEDIATAMENTE il cavo di alimentazione.
Evitate a questo punto di utilizzare il PC perchè ogni modifica che apportiamo sul disco, diminuiamo la possibilità di recuperare i file cancellati dal Cryptolocker.
A questo punto ci occorrono due programmi forensi, FTK Imager ed F-DAC, sono due software gratuiti, il primo vi permette di fare una copia del vostro disco su file .DD, il secondo è un software di carving, termine utilizzato per indicare l’operazione di ricostruzione dei file cancellati.
Sul web trovate molti tutorial in italiano per l’utilizzo di FTK Imager, basta cercare con Google, ovviamente vi servirà un disco USB esterno di pari o maggiore dimensione del vostro disco interno, nel caso il trojan abbia cifrato più dischi o più partizioni, dovrete acquisirle tutte. Consiglio per praticità di creare file immagine di 2Gb.
Su F-DAC dovrete inserire un file alla volta, selezionare poi tutti i file e tutte le tipologie da recuperare e il gioco è fatto.
Addio Cryptolocker!
grazmo (Massimo Graziani – massimo.graziani@gmail.com)