Rimozione di Ransomware

Cerber Ransomware

Anche se il ransomware supera il tuo antivirus, è probabile che in breve tempo un aggiornamento antivirus cancellerà l’aggressore dal tuo sistema.

Il problema è, naturalmente, che la rimozione del ransomware non ripristina i tuoi file.

L’unica garanzia affidabile di recupero è il mantenimento di un backup cloud consolidato dei tuoi file importanti.

Anche così, c’è una debole possibilità di recupero, a seconda di quale strappo ransomware ha crittografato i tuoi file.

Se il tuo antivirus ti da un nome, è di grande aiuto.

Molti produttori di antivirus, tra cui Kaspersky, Trend Micro e Avast, gestiscono una raccolta di utilità di decrittografia una tantum. In alcuni casi, l’utilità richiede l’originale non crittografato di un singolo file crittografato per sistemare le cose. In altri casi, come TeslaCrypt, è disponibile una chiave di decodifica principale.

Ma in realtà, la migliore difesa contro il ransomware consiste nel tenerlo in ostaggio. Esistono diversi approcci per raggiungere questo obiettivo.

Strategie anti-ransomware

Un’utilità antivirus ben progettata dovrebbe eliminare il ransomware a vista, ma i progettisti di ransomware sono ingannevoli.

Lavorano duro per aggirare il rilevamento di malware basato sulla firma vecchia scuola.

E il tuo antivirus impiega solo uno slipup per consentire a un nuovo, sconosciuto attacco ransomware di rendere inutilizzabili i tuoi file.

Anche se l’antivirus ottiene un aggiornamento che rimuove il ransomware, non può riportare i file.

Le moderne utility antivirus integrano il rilevamento basato sulle firme con una qualche forma di monitoraggio del comportamento.

Alcuni si affidano esclusivamente alla sorveglianza di comportamenti dannosi piuttosto che alla ricerca di minacce note.

E il rilevamento basato sul comportamento specifico per i comportamenti ransomware sta diventando sempre più comune.

Ransomware in genere va dopo i file memorizzati in posizioni comuni come il desktop e la cartella documenti.

Alcuni strumenti antivirus e suite di sicurezza sventano gli attacchi ransomware negando l’accesso non autorizzato a queste posizioni.

Tipicamente pre-autorizzano noti programmi validi come word processor e fogli di calcolo. Su qualsiasi tentativo di accesso da parte di un programma sconosciuto, ti chiedono, l’utente, se consentire l’accesso.

Rimozione di Ransomware

Se quella notifica viene fuori dal nulla, non da tutto ciò che hai fatto tu stesso, bloccalo!

Naturalmente, l’utilizzo di un’utilità di backup online per mantenere un backup aggiornato dei file essenziali è la migliore difesa contro il ransomware. In primo luogo, si estrae il malware offensivo, magari con l’aiuto del supporto tecnico dell’azienda antivirus

. Completata questa attività, è sufficiente ripristinare i file di backup.

Nota che alcuni ransomware tentano di crittografare anche i tuoi backup. I sistemi di backup in cui i file di backup vengono visualizzati in un’unità disco virtuale possono essere particolarmente vulnerabili.

Rivolgersi al proprio fornitore di servizi di backup per scoprire quali sono le difese del prodotto contro il ransomware.

Rilevamento del comportamento di Ransomware

L’utilità gratuita RansomFree di Cybereason ha solo uno scopo: rilevare e prevenire attacchi ransomware.

Una caratteristica molto visibile di questa utility è la creazione di file “esca” in posizioni tipicamente prese di mira da ransomware.

Qualsiasi tentativo di modificare questi file attiva una rimozione del ransomware.

Si basa anche su altre forme di rilevamento basato sul comportamento, ma i suoi creatori sono naturalmente riluttanti ad offrire molti dettagli.

Perché dire ai cattivi quali comportamenti evitare?

Malwarebytes Anti-Ransomware Beta, CryptoDrop Anti-Ransomware e alcuni altri usano anche il rilevamento basato sul comportamento per rimuovere qualsiasi ransomware che supera il tuo normale antivirus.

Non usano i file “esca”; piuttosto tengono d’occhio il modo in cui i programmi trattano i tuoi documenti reali.

Rilevando il ransomware, mettono in quarantena la minaccia.

Check Point ZoneAlarm Anti-Ransomware ha anche usato i file esca, ma non sono così visibili come quelli di RansomFree.

E chiaramente utilizza altri livelli di protezione. Ha sconfitto tutti i miei campioni del ransomware del mondo reale durante i test, sistemando tutti i file interessati e persino rimuovendo le note di riscatto spurie visualizzate da un campione.

Webroot SecureAnywhere AntiVirus si basa su modelli di comportamento per rilevare tutti i tipi di malware, non solo ransomware.

Lascia da solo noti buoni processi ed elimina malware noti. Quando un programma non appartiene a nessuno dei due gruppi, Webroot monitora attentamente il suo comportamento.

Blocca gli sconosciuti dalle connessioni Internet e registra ogni azione locale.

Nel frattempo, al centro di Webroot, il programma sconosciuto passa attraverso un’analisi approfondita. Se risulta essere dannoso, Webroot utilizza i dati registrati per annullare tutte le azioni del programma, inclusi i file di crittografia.

La società avverte che il database del journal non ha una dimensione illimitata e consiglia di mantenere il backup di tutti i file importanti.

Se il Trend Micro RansomBuster gratuito rileva un processo sospetto che tenta la crittografia dei file, esegue il backup del file e continua a guardarlo.

Quando rileva più tentativi di crittografia in rapida successione, mette in quarantena il file, avvisa l’utente e ripristina i file di backup.

Durante i test, questa funzione ha perso metà dei campioni ransomware reali che ho prodotto. Trend Micro conferma che la protezione dei ransomware è migliore con la protezione a più livelli di Trend Micro Antivirus + Security.

Lo scopo principale di Acronis True Image è il backup, ovviamente, ma il modulo Acronis Active Protection controlla e previene il comportamento del ransomware.

Utilizza la whitelist per evitare di segnalare falsamente strumenti validi come il software di crittografia . Inoltre, protegge attivamente il processo principale di Acronis contro le modifiche e garantisce che nessun altro processo possa accedere ai file di backup.

Se il ransomware riesce a crittografare alcuni file prima di essere eliminato, Acronis può ripristinarli dal backup più recente.

Ora è possibile ottenere gratuitamente la stessa protezione attiva, sotto forma di protezione di Acronis Ransomware .

Questa utility funziona insieme al tuo antivirus come un altro livello di protezione contro il ransomware e include 5 GB di spazio di archiviazione per i backup dei tuoi file più importanti. Acronis Ransomware Protection può ripristinare i file danneggiati dal ransomware da una cache locale; il backup online è un’altra linea di difesa.

 

 

Ransomware 

 

Vaccinazione ransomware

Gli autori di ransomware perdono credibilità se non riescono a decodificare i file per coloro che pagano il riscatto.

Crittografare lo stesso insieme di documenti più volte potrebbe rendere difficile o addirittura impossibile eseguire tale decodifica.

Quindi, la maggior parte dei programmi ransomware include un tipo di controllo per assicurarsi che non attacchino un sistema già infetto.

Ad esempio, il ransomware Petya inizialmente ha appena controllato la presenza di un determinato file. Creando una versione falsa di quel file, è possibile vaccinare efficacemente il computer contro Petya.

Bitdefender Anti-Ransomware previene in modo molto specifico l’infestazione da TeslaCrypt, BTC-Locker, Locky e quella prima edizione di Petya.

Non ha alcun effetto su Sage, Cerber, versioni successive di Petya o qualsiasi altra famiglia di ransomware. E certamente non può aiutare contro un ceppo nuovo di zecca, il modo in cui un sistema di rilevamento basato sul comportamento può. Questo tipo di protezione ha i suoi limiti, ma può essere una parte efficace di una strategia a più livelli.

 Strumenti anti-ransomware

Il modo più ovvio per testare la protezione dei ransomware consiste nel rilasciare il ransomware effettivo in un ambiente controllato e osservare quanto bene il prodotto si difende da esso. Tuttavia, questo è possibile solo se il prodotto ti consente di disattivare il suo normale antivirus in tempo reale lasciando attivo il rilevamento di ransomware.

Ovviamente, il test è più semplice quando il prodotto in questione è dedicato esclusivamente alla protezione dei ransomware, senza un componente antivirus generico.

Inoltre, i campioni di ransomware sono difficili da gestire.

Per sicurezza, li eseguo in una macchina virtuale senza connessione a Internet o alla rete.

Alcuni non funzioneranno affatto su una macchina virtuale.

Gli altri non fanno nulla senza una connessione internet. E sono semplicemente pericolosi!

Quando analizzo un nuovo campione, determinando se aggiungerlo alla mia raccolta, tengo un collegamento aperto a una cartella di registro sull’host della macchina virtuale.

Due volte ho avuto un campione ransomware raggiungere e iniziare a crittografare i miei registri.

TeslaCrypt Ransomware

KnowBe4 è specializzato nell’allenamento di individui e dipendenti per evitare di essere colpiti da attacchi di phishing.

Il phishing è un modo in cui i malware coder distribuiscono il ransomware, quindi gli sviluppatori di KnowBe4 hanno creato un simulatore di ransomware chiamato RanSim.

RanSim simula 10 tipi di attacco ransomware, insieme a due comportamenti innocui (ma simili). Un buon punteggio RanSim è sicuramente un vantaggio, ma non considero un punteggio basso come un segno negativo.

Alcuni sistemi basati sul comportamento come RansomFree non rilevano la simulazione, perché nessun vero ransomware limita le sue attività alle sottocartelle quattro livelli sotto la cartella Documenti.

CryptoPrevent Premium , creato quando CryptoLocker era nuovo, prometteva diversi livelli di protezione ransomware basata sul comportamento.

Tuttavia, al livello di sicurezza più alto, ha inondato il desktop di file esca, e anche a questo livello, diversi campioni del mondo reale sono scivolati oltre il suo rilevamento.

Non posso raccomandare questo strumento nella sua forma attuale.

Il Kure non è esattamente una soluzione ransomware.

Si ripristina il PC a uno stato pulito e privo di minacce ogni volta che si riavvia, le aree che esenta come le cartella Documenti da questo effetto “Groundhog Day”.

Quindi un riavvio cancellerebbe il ransomware attivo ma lascerebbe i tuoi file crittografati.

Per aggirare questo problema, The Kure conserva una copia nascosta e crittografata di file in quelle cartelle esenti.

Ho anche omesso soluzioni ransomware rivolte alle grandi aziende, che in genere richiedono una gestione centralizzata o persino un server dedicato.

Malwarebytes Anti-Ransomware for Business e Sophos Intercept X, ad esempio, vanno oltre lo scopo delle mie recensioni, per quanto tali servizi possano essere meritevoli.

Acronis True Image fornisce la protezione e il ripristino di dandy ransomwware, ma in fondo è uno strumento di backup.

Ho dato il suo posto nel grafico in cima al suo fratello incentrato sui ransomware, Acronis Ransomware Protection.

Restituire i tuoi file dopo un attacco è buono, ma prevenire completamente quell’attacco è ancora meglio. I prodotti elencati di seguito adottano approcci diversi per mantenere i tuoi file al sicuro.

La protezione dei ransomware è un campo in evoluzione; è probabile che, con l’evolversi del ransomware, anche le utility anti-ransomware si evolveranno.

Per ora, ZoneAlarm Anti-Ransomware e CyberSight RansomStopper sono le nostre scelte migliori per la protezione di sicurezza specifica dei ransomware.

Entrambi hanno rilevato tutti i nostri campioni ransomware, incluso il Petya che crittografa il disco.

ZoneAlarm ha riparato tutti i file danneggiati dal ransomware, mentre RansomStopper impediva completamente la crittografia.

Noterai che i blurb qui sotto includono alcuni prodotti in più rispetto al grafico in alto. Man mano che vengono visualizzati altri prodotti specifici del ransomware, i prodotti di sicurezza generici vengono spostati dal grafico. Tutti i prodotti elencati di seguito hanno ottenuto almeno tre stelle.

 

error: Content is protected !!