{"id":38341,"date":"2014-05-09T20:42:08","date_gmt":"2014-05-09T20:42:08","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=38341"},"modified":"2017-06-09T14:37:24","modified_gmt":"2017-06-09T13:37:24","slug":"ransomware-virus-rimuovere-software","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/","title":{"rendered":"Ransomware. Rimuovere il virus ricattatore: software e consigli"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f7258492e40\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f7258492e40\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/#I_Ransomware_che_bloccano_il_sistema%E2%80%A6\" >I Ransomware che bloccano il sistema&#8230;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/#%E2%80%A6_e_quelli_che_cifrano_i_dati\" >&#8230; e quelli che cifrano i dati<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/#Come_si_trasmettono_i_ransomware\" >Come si trasmettono i ransomware<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/#Ransomware_la_prevenzione\" >Ransomware: la prevenzione<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/ransomware-virus-rimuovere-software\/38341\/#Consigli_e_software_per_la_rimozione_dei_ransomware\" >Consigli e software per la rimozione dei ransomware<\/a><\/li><\/ul><\/nav><\/div>\n<p>Il proprio computer bloccato da una schermata della polizia, oppure, da schermata che chiedono il pagamento di una certa cifra per riottenere la propriet\u00e0 dei propri documenti. Vi trovate di fronte ad un <strong>ransomware<\/strong>, i<strong>l virus ricattatore<\/strong> che rappresenta una delle categorie pi\u00f9 pericolose di virus oggi esistenti.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"I_Ransomware_che_bloccano_il_sistema%E2%80%A6\"><\/span>I Ransomware che bloccano il sistema&#8230;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La prima tipologia di ransomware fa capo a tutte quelle minacce che si &#8220;limitano&#8221; a<strong>\u00a0bloccare il normale accesso della vittima al proprio sistema<\/strong>. In questo caso all&#8217;atto dell&#8217;avvio del sistema operativo una schermata fittizia avverte l&#8217;utente che dal computer in uso sono state rilevate (da sedicenti organismi di polizia) attivit\u00e0 illecite assimilabili al traffico di materiali illegali, di contenuti pedopornografici o di files coperti da diritto d&#8217;autore.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38347\" alt=\"ransom3\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/ransom3-300x216.png\" width=\"300\" height=\"216\" \/><\/p>\n<p>In questo caso per riottenere l&#8217;operativit\u00e0 del proprio computer viene richiesto il pagamento di una &#8220;multa&#8221; per un valore di qualche centinaio di euro (o dollari).\u00a0Minacce apparentemente molto serie, supportate dall&#8217;utilizzo improprio di loghi appartenenti a forze dell&#8217;ordine o agenzie governative, architettate con il solo scopo di creare panico nelle vittime e indurle &#8211; senza ragionare &#8211; a pagare la cifra stabilita per il &#8220;riscatto&#8221; del computer.<\/p>\n<p>Il trojan\u00a0<strong>Reveton<\/strong> \u00e8 uno degli esempi migliori: impedisce l&#8217;accesso al proprio computer bloccandolo con una schermata fissa di avviso. Nella fattispecie il messaggio appare su una grafica con il logo di un ente governativo, di polizia o di un&#8217;autorit\u00e0 giudiziaria (<strong>FBI, Canadian Security Intelligence Service, polizia postale, etc\u2026<\/strong>) lamentando la violazione di una legge, che a seconda del tipo di trojan pu\u00f2 variare dalla diffusione di materiale coperto da copyright o di fotografie a carattere sessuale.<\/p>\n<p>Anche in questo caso viene richiesto il pagamento di una cifra, mediante modalit\u00e0 non tracciabili, di importi solitamente minori e pari a circa 100 dollari. La pericolosit\u00e0 di <strong>Reveton<\/strong>, tuttavia, risiede nella sua caratteristica di fungere da trojan backdoor: una volta installato, \u00e8 in grado di garantire a terzi l&#8217;accesso indisturbato al proprio computer, sottrarre dati sensibili e informazioni personali all&#8217;insaputa dell&#8217;utente.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38351\" alt=\"\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/ransom6-300x200.jpg\" width=\"300\" height=\"200\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom6-300x200.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom6-768x512.jpg 768w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom6-1024x683.jpg 1024w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom6-900x600.jpg 900w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom6.jpg 1732w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/p>\n<h3><span class=\"ez-toc-section\" id=\"%E2%80%A6_e_quelli_che_cifrano_i_dati\"><\/span>&#8230; e quelli che cifrano i dati<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La seconda tipologia, pi\u00f9 pericolosa e capace di creare danni peggiori, \u00e8 legata a quei malware che una volta insediati provvedono a <strong>crittografare i dati memorizzati sul disco delle vittime<\/strong>, impedendone l&#8217;accesso e la corretta visualizzazione.<\/p>\n<p>Una volta operativi, questi <strong>cyberware<\/strong> provvedono generalmente a creare una coppia di chiavi pubblica\/privata andando nel contempo a criptare documenti di testo,<strong> immagini, pdf e files di<\/strong> lavoro di moltissimi programmi professionali attualmente in commercio: mentre da un lato il programma malevolo lascia all&#8217;utente la chiave pubblica, dall&#8217;altro richiede il pagamento di una somma economica per poter fornire la chiave privata necessaria al processo di de-criptazione. Pena, la completa inservibilit\u00e0 dei file bersagliati dall&#8217;attacco.<\/p>\n<p>Le recenti cronache legate al fenomeno dei ransomware ha portato alla ribalta un nome su tutti:\u00a0<strong>Cryptolocker<\/strong>. Questo virus &#8220;sequestratore&#8221; infetta le versioni di <strong>Windows XP, Vista, 7 e 8.<\/strong> Una volta scaricato, Cryptolocker modifica il registro di sistema garantendosi l&#8217;avvio automatico ad ogni nuova accensione del computer: a questo punto, sempre automaticamente, avvia una procedura di crittografia avanzata dei file della vittima con una chiave asimmetrica a 2048 bit.<\/p>\n<p>Per riaprire tali documenti sar\u00e0 quindi necessario disporre di entrambe le chiavi, inclusa quella privata\u00a0 che sar\u00e0 rilasciata dai <strong>cybercriminali<\/strong> a fronte di un esborso di circa 300 dollari, pagabili rigorosamente con modalit\u00e0 non traccaibili indicate nella schermata di avviso di <strong>Cryptolocker<\/strong>. La complessit\u00e0 della chiave, insieme al poco tempo lasciato a disposizione per eseguire il pagamento (evidenziato sullo schermo con un timer), rendono pressoch\u00e8 impossibile ogni tentativo di forzatura dell&#8217;algoritmo di cifratura, spingendo molte vittime a pagare nella speranza &#8211; spesso vana &#8211; di rivedere i propri file. In caso di mancato pagamento, alla scadenza del timer la chiave privata viene automaticamente cancellata rendendo cos\u00ec impossibile il recupero del materiale criptato.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Come_si_trasmettono_i_ransomware\"><\/span>Come si trasmettono i ransomware<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Generalmente questi <strong>malware<\/strong> penetrano nei computer delle vittime attraverso <strong>e-mail di phishing<\/strong>, dove i truffatori spingono le vittime ad aprire allegati infetti facendo leva sulle scuse pi\u00f9 disparate: false comunicazioni bancarie in merito a pagamenti non autorizzati, acquisti fasulli su siti di e-commerce per importi cospicui, addebiti errati su carte di credito. Comunicazioni allarmanti che vengono per\u00f2 giudicate risolvibili con una semplice operazione: l&#8217;apertura di un file allegato alla <strong>mail<\/strong>. Che una volta attivato, scaricher\u00e0 sul computer della vittima il codice infetto.<\/p>\n<p>Altri malware invece si annidano all&#8217;interno di semplici pagine web, capaci talvolta di proporre all&#8217;utente l&#8217;installazione di plugin, programmi eseguibili, falsi aggiornamenti java o flash. Una volta installati, l&#8217;estorsione ha inizio: un messaggio blocca ogni attivit\u00e0 e richiede un pagamento in denaro per la riattivazione del computer.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38348\" alt=\"ransom4\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/ransom4-300x242.jpg\" width=\"300\" height=\"242\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom4-300x242.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom4.jpg 581w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ransomware_la_prevenzione\"><\/span>Ransomware: la prevenzione<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Per ridurre al minimo i rischi \u00e8 sufficiente adottare le pi\u00f9 basilari norme per l&#8217;uso corretto della Rete:<\/p>\n<ul>\n<li>Installare sul proprio computer una suite di sicurezza informatica con protezione in tempo reale contro malware e trojan (spesso un semplice antivirus non \u00e8 sufficiente a tutelare l&#8217;utente da questi rischi);<\/li>\n<li><strong>Evitare il download di file da siti sconosciuti,<\/strong> specialmente se si tratta di software distribuito generalmente a pagamento\u00a0 e che viene invece ceduto gratuitamente;<\/li>\n<li>Creare <strong>backup periodici<\/strong> di tutti i files importanti dell&#8217;hard disk del computer, mettendoli al sicuro su un disco o dispositivo di memoria &#8220;offline&#8221; e quindi immune dagli attacchi della Rete. Un ottimo esempio \u00e8 <strong><a href=\"http:\/\/support.kaspersky.com\/4162\">Kaspersky Rescue Disk<\/a><\/strong>: il programma crea un&#8217;immagine del disco fisso che permette di avviare, direttamente da CD o USB, qualsiasi computer infetto e di effettuare una scansione completa (con relativa rimozione di malware) direttamente dal <strong>BIOS<\/strong> scavalcando il sistema operativo compromesso.\u00a0Il programma presenta un&#8217;interfaccia immediata e risulta molto semplice da utilizzare, anche per gli utenti meno esperti.<\/li>\n<li>Attivare la funzionalit\u00e0 di<strong> Windows &#8220;Versioni precedenti&#8221;<\/strong> dei singoli file. Questa opzione consente al sistema operativo di creare, nel tempo, copie di backup dei file pi\u00f9 importanti da poter eventualmente sovrascrivere alle versioni danneggiate dello stesso file. \u00c8 possibile attivare la funzionalit\u00e0 da Pannello di Controllo, Sistema, Protezione Sistema, Configura, Impostazioni di ripristino, scegliendo le opzioni desiderate circa la frequenza e la quantit\u00e0 di memoria da dedicare ai backup.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38353\" alt=\"ransom7\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/ransom7-300x225.jpg\" width=\"300\" height=\"225\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom7-300x225.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom7-160x120.jpg 160w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom7.jpg 600w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Consigli_e_software_per_la_rimozione_dei_ransomware\"><\/span>Consigli e software per la rimozione dei ransomware<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La prima regola da seguire \u00e8 basilare: mai cedere al ricatto. Il pagamento della somma richiesta dai <strong>cybercriminali<\/strong> non d\u00e0 infatti alcuna garanzia circa l&#8217;effettivo recupero del proprio sistema o dei file criptati. Statisticamente circa il 3% degli utenti colpiti dai <strong>ransomware<\/strong> decide di pagare la cifra richiesta: tra questi, meno della met\u00e0 riesce effettivamente a riappropriarsi del maltolto. Per queste ragioni in caso di attacco \u00e8 sempre bene farsi trovare preparati.<\/p>\n<ul>\n<li><strong>Scollegare immediatamente il computer dalla rete<\/strong> (sia ethernet sia Wi-Fi), impedendo cos\u00ec al virus di comunicare con l&#8217;esterno e trasmettere informazioni. In questo modo si evita inoltre che i file criptati vadano a sovrascriversi alle copie &#8220;sane&#8221; conservate on cloud sui vari Dropbox, Google Drive e similari, contenendo l&#8217;entit\u00e0 dell&#8217;infezione e facilitando il recupero dei file &#8220;sani&#8221;.<\/li>\n<li><strong>Non riavviate il computer:<\/strong> molti dei danni provocati dai ransomware possono essere limitati evitando di eseguire il reboot della macchina, per impedire che il codice possa prendere definitivamente il controllo del sistema.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38350\" alt=\"ransom5\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/ransom5-300x225.jpg\" width=\"300\" height=\"225\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom5-300x225.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom5-160x120.jpg 160w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom5.jpg 600w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/> <strong>Hitman Pro Kickstart<\/strong>: questa versione fornisce protezione specifica contro i ransomware che tendono a bloccare l&#8217;accesso dell&#8217;utente al computer, come Reveton o le varianti italiane dei virus della Polizia.<\/p>\n<p>Il software consente di creare un flash drive <strong>USB<\/strong> da tenere a disposizione in caso di infezione da <strong>ransomware<\/strong>: all&#8217;occorrenza sar\u00e0 sufficiente riavviare il computer,\u00a0 impostare da BIOS l&#8217;avvio da periferica USB esterna e lasciare che <strong>Kickstart<\/strong> compia il suo lavoro, bypassando l&#8217;odiosa schermata di blocco e avviando il sistema operativo. A quel punto sar\u00e0 possibile avviare Hitman Pro per procedere alla scansione e alla rimozione del malware.<\/p>\n<p><strong><a href=\"http:\/\/esupport.trendmicro.com\/solution\/en-us\/1098354.aspx?name=using%20trend%20micro%20antiransomware%203.0%20tool%20with%20usb\">Trend Micro Antiransomware USB<\/a><\/strong>: analogamente a <strong>Kickstart<\/strong>, questo programma una volta installato consente di configurare un dispositivo USB per boot di emergenza. La chiavetta cos\u00ec creata potr\u00e0 essere quindi inserita all&#8217;interno di un computer infetto per consentire al software Trend Micro di effettuare la pulizia e restituire, nel giro di pochi minuti, un sistema operativo perfettamente funzionante.<\/p>\n<p><strong><a href=\"http:\/\/www.pandasecurity.com\/uk\/homeusers\/support\/card?id=1675\">Panda Ransomware Decrypt Tool<\/a>:<\/strong> rimuovere un ransomware spesso non \u00e8 sufficiente per recuperare i file che il codice malevolo ha criptato o rinominato, rendendone impossibile l&#8217;apertura. <strong>Panda Ransomware Decrypt Tool<\/strong> fornisce un valido aiuto per ricercare ed eventualmente ripristinare tutti i file modificati durante l&#8217;infezione.\u00a0Una volta installato il programma \u00e8 sufficiente avviare la ricerca all&#8217;interno di una cartella o un intero disco per evidenziare tutti i file divenuti inservibili. A questo punto \u00e8 possibile scegliere due modalit\u00e0 di recupero dei file, normale o avanzata: quest&#8217;ultima, pi\u00f9 lenta, consente per\u00f2 di ottenere migliori risultati qualora la il meccanismo di cifratura impiegato dal ransomware si dovesse rivelare particolarmente elaborato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il proprio computer bloccato da una schermata della polizia, oppure, da schermata che chiedono il pagamento di una certa cifra per riottenere la propriet\u00e0 dei propri documenti. Vi trovate di fronte ad un ransomware, il virus ricattatore che rappresenta una delle categorie pi\u00f9 pericolose di virus oggi esistenti. I Ransomware che bloccano il sistema&#8230; La [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":38346,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[88,583,62,452,793],"class_list":{"0":"post-38341","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"tag-antivirus","9":"tag-cybercrime","10":"tag-internet","11":"tag-malware","12":"tag-sicurezza-informatica","13":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/ransom2.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=38341"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38341\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/38346"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=38341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=38341"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=38341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}