Del Cryptolocker se ne è parlato molto e purtroppo se ne continuerà a parlare. Ma come difendersi? Partiamo da un presupposto estremamente importante: non esistono attualmente antivirus in grado di combattere efficacemente questa infezione, per lo stesso motivo per il quale ogni anno milioni di persone prendono il raffreddore, ma di questo ne parleremo separatamente.
1) Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione
A tal proposito, suggeriamo la lettura degli articoli Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi e dell’articolo Come non prendere virus e malware quando si scaricano programmi al punto 7) Attenzione alle vere estensioni dei file.
2) Assicurarsi di utilizzare un valido sistema antivirus/antispam lato server
Suggeriamo di scegliere un fornitore del servizio di posta elettronica che metta a disposizione un valido sistema antivirus/antispam operativo lato server. In questo modo, con buona probabilità, il provider sposterà nella posta indesiderata le email spedite dagli autori del ransomware.
Dal momento che tali messaggi utilizzano tecniche di mail spoofing, vengono inviate da server spesso coinvolti nell’invio di spam ed hanno una struttura simile ai messaggi indesiderati, è possibile che con un buon sistema antivirus/antispam lato server i messaggi contenenti gli allegati nocivi non arrivino mai (o quasi) nella posta in arrivo (vedere anche Perché le mie email vanno nella cartella spam?).
È ovvio che è necessario porre la massima attenzione a quel “quasi”. Se alcune mail veicolo del ransomware dovessero arrivare nella casella di posta in arrivo, si dovrà essere certi di riconoscerle.
3) Non dare credito a nessun messaggio, neppure a quelli che sembrano arrivare da mittenti conosciuti: le intestazioni dell’email possono aiutare
Senza neppure aprire l’email, selezionando il messaggio e usando la combinazione di tasti CTRL+U, ci si accorgerà che il messaggio non è assolutamente partito dal server cui si appoggia il mittente.
Molto spesso, esaminando le intestazioni, si rileveranno indirizzi IP stranieri, a conferma che il messaggio è quanto meno fasullo e, molto probabilmente, pericoloso.
A tal proposito, suggeriamo la lettura dell’articolo Come riconoscere email phishing.
4) Usare un account utente standard
Quando si lavora quotidianamente in Windows, suggeriamo di utilizzare un account utente dotato di privilegi standard (e non un account amministrativo).
In caso di infezione da ransomware il danno sarebbe più limitato (ai soli file dell’utente in uso), l’aggressione non potrebbe diffondersi altrove e sarebbe possibile recuperare le copie shadow (per cancellarle, come visto ad inizio articolo, sono infatti richiesti i diritti di amministratore).
L’account amministratore dovrà essere utilizzato solo per le attività che ne richiedono strettamente l’utilizzo.
5) Utilizzare Cryptoprevent
La snella utilità Cryptoprevent, della quale abbiamo più volte parlato in passato, non fa altro che impostare una serie di policy di sistema bloccando l’esecuzione di file da alcune aree “sensibili” di Windows.
Gran parte dei ransomware, quando vengono eseguiti, iniziano a copiare dei file necessari per il loro funzionamento nella cartella TEMP di Windows.
Inibendo l’esecuzione dei file da tale cartella, ci si potrà automaticamente proteggere da molte tipologie di ransomware.
Nell’articolo Bloccare esecuzione di programmi in Windows abbiamo spiegato nel dettaglio come usare Cryptoprevent.
Va detto che le limitazioni che è possibile imporre ricorrendo a Cryptoprevent possono impedire la corretta installazione di alcuni software del tutto legittimi. Anche questi ultimi, infatti, se dovessero appoggiarsi alla cartella TEMP, mostreranno un messaggio d’errore.
In questi frangenti, consapevoli di cosa si sta facendo, si potrà temporaneamente disattivare la protezione configurabile con Cryptoprevent.