Come rimuovere il ransomware

Un ransomware non è altro che un file (o, in alcuni casi, una porzione di codice associata a un file) apparentemente innocuo che si attiva soltanto una volta presente nel sistema da infettare, spesso anche senza l’intervento diretto dell’utente. Solitamente viene scaricato inconsapevolmente, ma a volte può essere installato direttamente da hacker esterni sfruttando una vulnerabilità della rete.

Una volta infettato un dispositivo, il ransomware esegue uno script che cripta i file o che blocca l’accesso al sistema, impedendo all’utente di eseguire qualsiasi tipo di operazione. L’unico modo per eliminare il blocco è quello di inserire la chiave di crittografia corretta, che è però nota soltanto all’autore del malware. Nel dispositivo infettato viene quindi visualizzato un messaggio in cui viene richiesto il pagamento di un riscatto, di solito con metodi non tracciabili o tramite Bitcoin. In aggiunta, vengono spesso visualizzati anche messaggi minacciosi in cui vengono descritte fantomatiche denunce alle autorità, che dovrebbero incutere timore nell’utente e convincerlo a pagare il riscatto.

Adesso che sappiamo cos’è un ransomware, è facile intuire che si tratta di un’infezione molto pericolosa e potenzialmente costosa. Non deve però essere vista necessariamente come una situazione senza via di uscita. Con qualche accorgimento è possibile evitare il contagio, limitarne le conseguenze o anche risolvere il problema.

Come per molti altri tipi di attacchi informatici, la miglior difesa è la prevenzione.

Un buon punto di partenza è l’installazione di una VPN. Grazie al suo uso, infatti, è possibile proteggere la propria connessione da minacce esterne. La cosa migliore sarebbe scegliere una VPN che dispone di funzionalità aggiuntive pensate proprio per il ransomware. NordVPN, ad esempio, utilizza la funzionalità Threat Protection per fornire ai suoi utenti un’ulteriore protezione: permette infatti di rilevare i siti potenzialmente pericolosi e bloccarne l’accesso, impedendo così di scaricare ransomware che potrebbe bloccare l’intero sistema.

Un’altra possibile soluzione è l’uso di firewall e antivirus installati direttamente sul router, in modo che tutti i file vengano controllati prima ancora di essere scaricati sul computer in uso. In questo modo, eventuali ransomware vengono bloccati prima di poter infettare i dispositivi.

È poi fondamentale che tutti gli utenti imparino a prestare attenzione alla sicurezza. Bisogna quindi evitare di cliccare sui link contenuti in e-mail sospette o di scaricare file e allegati di dubbia provenienza. Inoltre, è opportuno che il sistema operativo e i driver siano sempre aggiornati, perché spesso i ransomware sfruttano delle vulnerabilità note.

È importante ricordarsi sempre che i ransomware, ma così anche virus e malware generici, sono pericolosi solo una volta installati: se si è in grado di riconoscerli preventivamente, il problema non si pone nemmeno.

La soluzione apparentemente più semplice è quella di pagare il riscatto. In realtà, questo non garantisce che gli autori del malware poi forniscano la chiave per decriptare i file o per sbloccare il sistema operativo. Una volta ricevuti i soldi, infatti, non hanno alcun interesse a venire in aiuto delle loro vittime.

Nel caso in cui un ransomware dovesse sfuggire ai controlli preventivi, è comunque ancora possibile evitare il contagio, almeno in alcuni casi. I ransomware che criptano i file personali, infatti, impiegano un po’ di tempo a completare l’operazione. In questa eventualità, quindi, è importante agire in fretta per recuperare i propri dati, in parte o totalmente.

La prima cosa da fare è eseguire una scansione del sistema utilizzando un programma anti-malware aggiornato. Così facendo, eventuali ransomware verrebbero individuati ed eliminati, bloccandone l’azione. Se alcuni file dovessero essere già stati criptati, si può provare a ricorrere all’uso di alcuni programmi appositi, che potrebbero permettere di recuperarli. Tuttavia, questi programmi sono solitamente pensati per essere utilizzati solo con ransomware specifici, e non funzionano con altri. Ad esempio, Norton CryptoLoker permette di recuperare i dati criptati da CryptoLoker.

In linea di massima, recuperare file criptati è molto difficile, ed è possibile solo in alcuni casi. Per questo motivo è consigliabile avere sempre una seconda copia di backup dei dati più importanti, conservata in un altro hard disk o computer oppure salvata nel cloud.

Se, invece, si ha a che fare con un ransomware che blocca semplicemente l’accesso al sistema operativo, potrebbe essere sufficiente ripristinare il sistema a uno stato precedente. Per fare ciò, è necessario avviare il computer in modalità provvisoria ed eseguire poi il ripristino o una nuova installazione del sistema operativo, avendo cura di non eliminare i file personali.

Come descritto precedentemente in questo articolo, in caso di contagio da ransomware c’è il rischio che una parte, o addirittura la totalità, dei propri file personali venga criptata e irrimediabilmente persa. Esistono dei software che tentano di recuperare questi file, come ad esempio Recuva, ma i risultati sono spesso poco soddisfacenti. Il modo più sicuro per non perdere nessun dato importante è quello di ricorrere alle copie di backup.

Per eseguire un backup, è necessario prima di tutto decidere quali file includere. Se si tratta di un numero contenuto di file di piccole o medie dimensioni, l’operazione è tutto sommato molto semplice. In sostanza, basta fare una copia dei vari file e conservarli poi in un luogo sicuro. La scelta migliore sarebbe quella di usare un supporto fisico, ma si possono usare anche i servizi cloud, seppur potenzialmente più pericolosi per la sicurezza.

Tra i servizi consigliati ci sono sicuramente Google Drive, Dropbox, e Microsoft OneDrive. Tutti questi servizi permettono di fare un backup sia manuale che automatico delle cartelle selezionate sul proprio computer. È anche possibile creare un proprio server personale raggiungibile in remoto, ma questa è una soluzione per utenti più esperti.

Se, invece, si preferisce utilizzare un supporto fisico, oltre a copiare manualmente i vari file si può ricorrere a delle soluzioni automatiche. Ad esempio, Iperius è un programma gratuito che permette di scegliere quali cartelle includere nel backup, che verrà eseguito automaticamente secondo scadenze programmate.

È possibile anche effettuare una copia di backup dell’intero sistema operativo, in modo che possa essere ripristinato in un secondo momento. Questa procedura è eseguita in automatico da Windows, ma le copie sono nascoste all’utente e in caso di infezione da ransomware potrebbero non essere utilizzabili. Per ovviare a questo problema, si può usare un programma come ShadowExplorer, che permette di recuperare le copie di backup anche in caso di contagio da virus o malware.

La soluzione migliore sarebbe però quella di eseguire una copia completa del sistema operativo e di tutti i file per salvarla poi su un supporto fisico diverso. Per fare ciò, è necessario ricorrere a soluzioni di terze parti. Macrium Reflect, ad esempio, è uno strumento che già nella sua versione gratuita permette di eseguire una copia personalizzata di Windows; la sua versione a pagamento, poi, mette a disposizione anche funzionalità più avanzate, come l’esecuzione periodica dei backup.

Anche se un backup evita la preoccupazione di perdere i propri file più importanti, non è comunque un buon motivo per non ricorrere a tutti gli accorgimenti indicati per evitare di essere infettati.