Come rimuovere il ransomware

Un ransomware non è altro che un file (o, in alcuni casi, una porzione di codice associata a un file) apparentemente innocuo che si attiva soltanto una volta presente nel sistema da infettare, spesso anche senza l’intervento diretto dell’utente. Solitamente viene scaricato inconsapevolmente, ma a volte può essere installato direttamente da hacker esterni sfruttando una vulnerabilità della rete.

Una volta infettato un dispositivo, il ransomware esegue uno script che cripta i file o che blocca l’accesso al sistema, impedendo all’utente di eseguire qualsiasi tipo di operazione. L’unico modo per eliminare il blocco è quello di inserire la chiave di crittografia corretta, che è però nota soltanto all’autore del malware. Nel dispositivo infettato viene quindi visualizzato un messaggio in cui viene richiesto il pagamento di un riscatto, di solito con metodi non tracciabili o tramite Bitcoin. In aggiunta, vengono spesso visualizzati anche messaggi minacciosi in cui vengono descritte fantomatiche denunce alle autorità, che dovrebbero incutere timore nell’utente e convincerlo a pagare il riscatto.

Adesso che sappiamo cos’è un ransomware, è facile intuire che si tratta di un’infezione molto pericolosa e potenzialmente costosa. Non deve però essere vista necessariamente come una situazione senza via di uscita. Con qualche accorgimento è possibile evitare il contagio, limitarne le conseguenze o anche risolvere il problema.

Come per molti altri tipi di attacchi informatici, la miglior difesa è la prevenzione.

Un buon punto di partenza è l’installazione di una VPN. Grazie al suo uso, infatti, è possibile proteggere la propria connessione da minacce esterne. La cosa migliore sarebbe scegliere una VPN che dispone di funzionalità aggiuntive pensate proprio per il ransomware. NordVPN, ad esempio, mette a disposizione diverse funzionalità facoltative ed extra, come Threat Protection Pro, per fornire ai suoi utenti un’ulteriore protezione: permette infatti di rilevare i siti potenzialmente pericolosi e bloccarne l’accesso, impedendo così di scaricare ransomware che potrebbe bloccare l’intero sistema.

Un’altra possibile soluzione è l’uso di firewall e antivirus installati direttamente sul router, in modo che tutti i file vengano controllati prima ancora di essere scaricati sul computer in uso. In questo modo, eventuali ransomware vengono bloccati prima di poter infettare i dispositivi.

È poi fondamentale che tutti gli utenti imparino a prestare attenzione alla sicurezza. Bisogna quindi evitare di cliccare sui link contenuti in e-mail sospette o di scaricare file e allegati di dubbia provenienza. Inoltre, è opportuno che il sistema operativo e i driver siano sempre aggiornati, perché spesso i ransomware sfruttano delle vulnerabilità note.

È importante ricordarsi sempre che i ransomware, ma così anche virus e malware generici, sono pericolosi solo una volta installati: se si è in grado di riconoscerli preventivamente, il problema non si pone nemmeno.

La soluzione apparentemente più semplice è quella di pagare il riscatto. In realtà, questo non garantisce che gli autori del malware poi forniscano la chiave per decriptare i file o per sbloccare il sistema operativo. Una volta ricevuti i soldi, infatti, non hanno alcun interesse a venire in aiuto delle loro vittime.

Nel caso in cui un ransomware dovesse sfuggire ai controlli preventivi, è comunque ancora possibile evitare il contagio, almeno in alcuni casi. I ransomware che criptano i file personali, infatti, impiegano un po’ di tempo a completare l’operazione. In questa eventualità, quindi, è importante agire in fretta per recuperare i propri dati, in parte o totalmente.

La prima cosa da fare è eseguire una scansione del sistema utilizzando un programma anti-malware aggiornato. Così facendo, eventuali ransomware verrebbero individuati ed eliminati, bloccandone l’azione. Se alcuni file dovessero essere già stati criptati, si può provare a ricorrere all’uso di alcuni programmi appositi, che potrebbero permettere di recuperarli. Tuttavia, questi programmi sono solitamente pensati per essere utilizzati solo con ransomware specifici, e non funzionano con altri. Ad esempio, Norton CryptoLoker permette di recuperare i dati criptati da CryptoLoker.

In linea di massima, recuperare file criptati è molto difficile, ed è possibile solo in alcuni casi. Per questo motivo è consigliabile avere sempre una seconda copia di backup dei dati più importanti, conservata in un altro hard disk o computer oppure salvata nel cloud.

Se, invece, si ha a che fare con un ransomware che blocca semplicemente l’accesso al sistema operativo, potrebbe essere sufficiente ripristinare il sistema a uno stato precedente. Per fare ciò, è necessario avviare il computer in modalità provvisoria ed eseguire poi il ripristino o una nuova installazione del sistema operativo, avendo cura di non eliminare i file personali.

Come descritto precedentemente in questo articolo, in caso di contagio da ransomware c’è il rischio che una parte, o addirittura la totalità, dei propri file personali venga criptata e irrimediabilmente persa. Esistono dei software che tentano di recuperare questi file, come ad esempio Recuva, ma i risultati sono spesso poco soddisfacenti. Il modo più sicuro per non perdere nessun dato importante è quello di ricorrere alle copie di backup.

Per eseguire un backup, è necessario prima di tutto decidere quali file includere. Se si tratta di un numero contenuto di file di piccole o medie dimensioni, l’operazione è tutto sommato molto semplice. In sostanza, basta fare una copia dei vari file e conservarli poi in un luogo sicuro. La scelta migliore sarebbe quella di usare un supporto fisico, ma si possono usare anche i servizi cloud, seppur potenzialmente più pericolosi per la sicurezza.

Tra i servizi consigliati ci sono sicuramente Google Drive, Dropbox, e Microsoft OneDrive. Tutti questi servizi permettono di fare un backup sia manuale che automatico delle cartelle selezionate sul proprio computer. È anche possibile creare un proprio server personale raggiungibile in remoto, ma questa è una soluzione per utenti più esperti.

Se, invece, si preferisce utilizzare un supporto fisico, oltre a copiare manualmente i vari file si può ricorrere a delle soluzioni automatiche. Ad esempio, Iperius è un programma gratuito che permette di scegliere quali cartelle includere nel backup, che verrà eseguito automaticamente secondo scadenze programmate.

È possibile anche effettuare una copia di backup dell’intero sistema operativo, in modo che possa essere ripristinato in un secondo momento. Questa procedura è eseguita in automatico da Windows, ma le copie sono nascoste all’utente e in caso di infezione da ransomware potrebbero non essere utilizzabili. Per ovviare a questo problema, si può usare un programma come ShadowExplorer, che permette di recuperare le copie di backup anche in caso di contagio da virus o malware.

La soluzione migliore sarebbe però quella di eseguire una copia completa del sistema operativo e di tutti i file per salvarla poi su un supporto fisico diverso. Per fare ciò, è necessario ricorrere a soluzioni di terze parti. Macrium Reflect, ad esempio, è uno strumento che già nella sua versione gratuita permette di eseguire una copia personalizzata di Windows; la sua versione a pagamento, poi, mette a disposizione anche funzionalità più avanzate, come l’esecuzione periodica dei backup.

Anche se un backup evita la preoccupazione di perdere i propri file più importanti, non è comunque un buon motivo per non ricorrere a tutti gli accorgimenti indicati per evitare di essere infettati.