Ransomware, adware & co.: come riuscire a proteggersi?

Sempre più spesso i malware finiscono sulle pagine dei giornali: attacchi a sistemi aziendali, a quelli di istituti, ai PC privati e persino a quelli degli ospedali sono entrati a far parte da molto tempo della normale routine digitale. Per i diversi tipi di software dannosi nell’ambiente IT si utilizzano spesso i termini ransomware, spyware, adware o scareware, che presentano tutti l’annessione della parte finale “-ware”, ad indicazione dell’abbreviazione di “software”. Così vengono descritte tutte le diverse forme di malware (in inglese “malicious software”, tradotto letteralmente come “software maligno”, software dannoso). 

Ma cosa si nasconde concretamente dietro ai singoli termini? Quanto è grave la minaccia in realtà? Come si possono proteggere gli utenti da questi software dannosi e rimuoverli dal proprio PC nel caso in cui risulti infetto?

Dietro al termine “ransomware” si nasconde una fusione delle parole inglesi “ransom” (in italiano “riscatto”) e “software”.  Così si parla anche di crypto trojan o ransomware a criptazione. Lo schema di azione è sempre lo stesso: il software dannoso cifra i file di un computer, se non persino di un’intera rete, e inserisce, al posto dell’interfaccia grafica usuale, un’istruzione per il rilascio dei file, dove spesso viene richiesta una somma di denaro come riscatto.

Al momento della diffusione, il ransomware non appare molto diverso dai più conosciuti virus per il computer: il più delle volte si intrufola nel sistema attraverso allegati falsi contenuti nelle e-mail (ad esempio presunte fatture, bolle di consegna, file ZIP o simili), falle di sicurezza nel browser o nei servizi di archiviazione (come Dropbox) dei computer target.

Il metodo più comune utilizzato dai ransomware è quello di inviare moltissime e-mail con allegati infetti attraverso botnet. Tramite spambot i cyber criminali possono inviare automaticamente le e-mail preparate. Dietro agli allegati falsi si nascondono infine downloader che forniscono in un secondo momento il crypto trojan vero e proprio. Solitamente le e-mail mirano a fare delle pressioni, ad imitare dei mittenti che esistono realmente, come nel caso di aziende famose, o cercano di entrare in contatto con gli utenti, indirizzandosi direttamente a loro e invogliandoli all’apertura dell’allegato.

La modalità utilizzata è quindi ben conosciuta, ma dall’inverno 2015/2016 il fenomeno si è nettamente acutizzato: infatti a febbraio 2016 gli antivirus hanno individuato molti più ransomware, fino a dieci volte di più, rispetto a ottobre 2015 e tra questi c’era anche Locky che ha imperversato in tutto il mondo, creando cospicui danni ai computer di moltissimi utenti. Infatti il malware è stato responsabile dell’ammontare di un milione di danni e non si è fermato neanche davanti ai sistemi degli ospedali: oltre a una clinica a Los Angeles, sono stati cifrati in ogni parte del mondo innumerevoli altri sistemi ospedalieri, aziendali e computer privati. Continuano a colpire ancora molto spesso anche i programmi nocivi derivati dalla stessa famiglia di ransomware di TeslaCrypt.

Le misure di prevenzione contro i ransomware sono variegate: al primo posto vanno nominate le misure di prevenzione essenziali per difendersi dalle e-mail di truffa. Ciò significa che bisogna mostrarsi scettici nel caso di mail inattese, evitare di cliccare frettolosamente su link dubbiosi e interrogarsi sempre sulla plausibilità degli allegati e aprirli solo se la loro autenticità è determinabile inconfutabilmente. Inoltre si consiglia di:

• tenere il sistema operativo e un antivirus efficace sempre aggiornato. Solo così possono essere individuate nuove minacce;

• creare regolarmente backup dei dati più importanti su un supporto di memoria esterno. In caso di perdita i dati possono essere ripristinati senza incorrere in gravi danni;

• attivare sempre il firewall del sistema operativo. Inoltre il fatto di non lavorare costantemente disponendo dei permessi di amministratore, può offrire una protezione aggiuntiva;

• non utilizzare più software che presentano falle di sicurezza note. Qui è da citare prima di tutto Adobe Flash Player, che sin dal passaggio di molti siti all’HTML5 viene utilizzato sempre meno.

Se, invece, il ransomware è entrato in azione, cosa potete fare in caso di una criptazione? Le possibilità di rimuovere il ransomware dipendono molto dal rispettivo processo di cifratura. Alcuni possono essere individuati ed eliminati dagli antivirus comuni, altri sono più tenaci: in ogni caso, nel caso di un’infezione, dovreste separare il computer dalla rete e spegnerlo. Grazie a CD di recovery si possono prevenire alcune minacce: questi dischi di emergenza sono messi a disposizione dai produttori degli antivirus, come ad esempio Kaspersky, AVG o BitDefender.

Inoltre può aiutare l’avvio in safe mode che assicura il caricamento esclusivamente delle funzioni più importanti del sistema. In questo ambiente sicuro si può reimpostare il sistema ad un punto precedente dal “Pannello di controllo” nel menu “Sistema e sicurezza”, ma solo se prima è stato impostato un punto di ripristino. Tuttavia, in genere, i punti di ripristino vengono generati automaticamente dal sistema con update o installazioni dei programmi.

Infine potete anche affidarvi a quest’ultimo rimedio, cioè eseguire tramite la riga di comando tool di decriptazione specifici (chiamati anche programmi anti ransomware) che sono stati sviluppati per funzionare contro specifici crypto trojan.

Con spyware (dall’inglese “spy”, in italiano “spia”) si indicano i programmi di spionaggio che nel caso più innocuo si limitano a spiare il comportamento e gli interessi dell’utente per scopi pubblicitari, ma in quello peggiore carpiscono anche i dati delle carte di credito, delle password e di altre informazioni sensibili. Nel caso di infezioni particolarmente dannose, lo spyware viene installato insieme a dei keylogger, che seguono le ricerche e gli input immessi dall’utente, inoltrandoli tramite Internet agli sviluppatori del malware.

Nel primo caso, quello più innocuo, si parla anche di adware (parola composta dall’inglese “advertisement”, in italiano “pubblicità, e “software”). Questi programmi non rendono certo segrete le loro vere intenzioni. Spesso finiscono nei computer sotto forma di contenuti opzionali di un client di installazione e si possono anche disinstallare facilmente. In molti casi si tratta di toolbar per il browser o searchbar di motori di ricerca per lo più sconosciuti. Tramite i dati inseriti in queste barre di ricerca può venir presentata pubblicità su misura sotto forma di banner o finestre pop-up. Sono anche possibili una modifica automatica della pagina iniziale del browser o del motore di ricerca standard, operazioni che possono venir annullate facilmente, ma che comunque risultano fastidiose.

La soluzione migliore per non ritrovarsi con gli adware sul proprio browser, sarebbe quella di non installarli. Perciò, quando installate dei programmi gratuiti da Internet (freeware), non scegliete la procedura standard automatica, anche nel caso in cui vi fidiate della fonte di provenienza del file di setup. Spesso durante l’installazione rapida vengono installati dei programmi aggiuntivi senza che l’utente ne sia a conoscenza e solo dopo l’apertura del browser ci si accorge delle conseguenze. Quindi prendetevi del tempo e procedete passo passo nell’installazione. Ad ogni passaggio controllate esattamente cosa deve essere installato e rimuovete la spunta sulla casella dei programmi indesiderati.

Ma se per errore avete installato un adware, di solito potete rimuoverlo facilmente. Molte toolbar si possono disinstallare dal pannello di controllo del sistema operativo (“Programmi e funzioni” o una voce del menu simile). Ad ogni modo dovreste controllare uno alla volta tutti i browser installati e le toolbar ed eliminare gli adware manualmente, nel caso in cui compaiano ancora nella lista generale dei componenti aggiuntivi e dei plug-in. Adattate manualmente anche il motore di ricerca standard e la pagina iniziale dalle impostazioni del browser, ma se non si riesce a disinstallare il malware, bisogna passare alle maniere forti.

Ad esempio il programma AdwCleaner cerca ed elimina numerose forme di toolbar e hijacker sul browser. Non è necessaria un’installazione del programma, infatti potete eseguire la verifica anche da un supporto esterno, come una pen drive USB o un CD. Come nel caso di ogni freeware, bisogna prestare attenzione al momento del download del programma: infatti degli approfittatori cercano di comparire nei risultati della parte superiore su Google con software falsi, perciò si consiglia di scaricare il programma sulla pagina di HTML. Dopo averlo installato, effettuate comunque per sicurezza una scansione completa del sistema con il vostro antivirus.    

La separazione tra adware e spyware non è sempre nettamente chiara e le linee di confine possono facilmente confondersi; solitamente gli spyware si dimostrano più aggressivi e subdoli. Mentre gli adware compaiono soprattutto nella lista di app e programmi e possono quindi venir disinstallati da qui, gli spyware agiscono di nascosto e operano in background. Anche la rilevazione dei comandi effettuati tramite tastiera servendosi di keylogger ricade in questa categoria: così vengono spiati PIN, password, indirizzi e-mail o altri dati sensibili. Vi accorgete di questo software dannoso quando venite avvisati dall’antivirus o dal firewall. Se ciò non accade, perché ad esempio non avete aggiornato l’antivirus o non ne avete installato nessuno, la presenza di un intruso sarà più chiara solo quando il PC inizierà a funzionare improvvisamente e insolitamente in modo lento.  

Se sospettate qualcosa, potete verificare l’utilizzo della CPU nel task manager (premete CTRL+ALT+CANC e scegliete “Avvia Gestione attività”) e ricercare i processi indesiderati. Alcuni trojan si camuffano da presunti processi conosciuti. Se ad esempio il browser non è aperto, ma viene comunque indicato nella lista dei processi attivi, potrebbe essere in azione uno spyware. Allo stesso modo ottenete una panoramica sull’utilizzo della rete posizionandovi sulla tab “Rete”. Se qui notate delle attività insolite, anche questo potrebbe essere un indizio che si è intrufolato nel sistema uno di questi software dannosi.

Anche qui la misura di prevenzione più importante rimane l’aggiornamento e l’installazione di un antivirus, infatti i programmi riconoscono i software dannosi e li rendono innocui. In questo caso è comunque sempre meglio disporre di un antivirus gratuito piuttosto che non averne affatto! Oltre al già citato AdwCleaner, si prestano a questo scopo anche i seguenti programmi per i sistemi Windows, di cui esistono pure delle varianti gratuite:

• Antivir: Avira Free Antivirus
• AVG-Antivirus Free
• Kaspersky Free Antivirus
• Malwarebytes Anti-Malware

Come per la rimozione di ransomware, possono aiutare in casi particolarmente difficili, quando non è più possibile rimuovere i malware dal computer tramite le funzioni del sistema operativo e l’antivirus installato, anche i CD di recovery, come ad esempio Kaspersky Rescue Disk, che si può scaricare sulla pagina di supporto del produttore. Dopo aver scaricato il file di immagine ISO, dovete salvarlo su un CD o un DVD utilizzando un programma per la masterizzazione a vostra scelta, come Nero Burning ROM. Ora dovete ancora solo modificare nel BIOS (“basic input/output system“) la sequenza di boot e stabilire che il PC deve avviarsi al prossimo riavvio dal CD o dal DVD.

Raggiungete il BIOS, a seconda di quale scheda madre è incorporata nel PC, tramite uno dei tasti funzione; il tasto giusto viene indicato dal PC nella schermata di avvio iniziale. Nel BIOS potete prendere le relative impostazioni alla voce del menu “Boot”. Salvate, riavviate il computer e premete un tasto qualsiasi, quando vi comparirà il messaggio apposito. Durante il boot potete scegliere tra una semplice riproduzione testuale del programma di recovery o un’interfaccia grafica e infine, ricercare e ripulire il computer da malware di ogni tipo.

Gli scareware (dall’inglese “to scare”, in italiano “spaventare”) è un genere di programma particolarmente malefico: il software dannoso deve incutere timore nell’utente, nella maggior parte dei casi lo scareware si camuffa da presunto antivirus che avvisa della presenza apparente di virus o trojan. In realtà è l’avviso stesso ad essere un malware. L’utente impaurito visualizzerà quindi una finestra pop-up con un avviso dove si consiglia di ripulire il computer da file infetti pagando o acquistando la nuova versione di un finto programma. Una volta pagato, gli avvisi scompariranno.

La situazione diventa ancora più grave se il pagamento dovesse avvenire tramite carta di credito, perché d’ora in poi i cyber criminali sono anche in possesso di dati molto sensibili della carta di credito.

Alcuni di questi pop-up, che sono in realtà degli scareware, per via del loro design lampeggiante ed invasivo, appaiono subito poco seri e vengono facilmente smascherati. Altri, invece, procedono in modo più raffinato e cercano di imitare le sembianze di un antivirus reale e offrono persino un supporto finto per telefono o e-mail. Ma come si può riconoscere l’inganno e rimuovere lo scareware? Essenzialmente dovreste analizzare bene ogni avviso: il messaggio proviene veramente da un programma che avete installato o che è stato preinstallato sul vostro PC? Qualora non sia così, molto probabilmente vi siete imbattuti in uno scareware.

Nessun antivirus serio proverà mai a scatenare il panico con un avviso su un virus e allo stesso tempo cercherà di estorcervi una somma per attenuare la vostra paura. Tutt’al più i programmi antivirus gratuiti attivano di tanto in tanto delle offerte per l’upgrade ad una versione più completa e a pagamento; nel caso in cui il vostro PC sia infetto, gli antivirus reali (anche quelli gratuiti) offrono sempre un aiuto immediato senza richiedere ulteriore denaro.

Inoltre gli scareware cercano di far apparire la minaccia particolarmente urgente, attingendo da una lista di più di una dozzina di infezioni, anche se numerosi casi di questo tipo sono molto rari e improbabili. Si possono eliminare gli scareware con tutti i programmi antivirus comuni e autentici. Qui vale di nuovo la regola di far riferimento solo a quei programmi che si trovano su fonti serie e attendibili, quindi presenti sulla pagina ufficiale o su un portale serio di informatica.