TeslaCrypt - Come difendersi da uno dei Ransomware più diffusi e pericolosi
Teslacrypt, anche noto come EccKrypt, è una delle più recenti varianti di Ransomware, ovvero di Malware che si insinuano nei pc e criptano numerosi file e documenti per poi chiedere al proprietario di pagare un riscatto per sbloccarli.
Come funziona?
Un eseguibile scaricato per errore o tramite raggiro si installa sul vostro pc.
Si collega via internet a un server che gli fornisce delle chiavi di criptazione.
Con queste, il software inizia a criptare i file sul vostro computer, aprendovi poi una finestra che vi informa dell’accaduto e vi fornisce le informazioni su come pagare il riscatto in modo non tracciabile.
Addirittura, vi offre di Decriptare un file o una cartella gratuitamente, per invogliarvi a pagare.
A riscatto pagato, il server (forse) fornisce all’eseguibile le chiavi e il comando per decriptare il vostro pc.
Questo tipo di programmi vengono costantemente aggiornati, dato che chi li mette in circolazione ottiene ingenti somme che può in parte investire nella creazione di nuove versioni del Malware.
In questo modo, quotidianamente vengono create nuove versioni che gli Antivirus non riescono a rilevare immediatamente.
In che modo difendersi?
Sophos offre alcune possibilità di difesa:
Tramite i comandi di rilevamento HPmal/EccKrpt-A, Troj/TeslaCrypt-*, Mal/ TeslaCrypt-*, Troj/Ransom-* possono intercettare le versioni più recenti ma già identificate, in quanto lavorano su firme.
Sophos HIPS, integrato in Sophos Endpoint Protection, è in grado di individuare comportamenti sospetti dei software lato client.
Un comportamento sospetto potrebbe essere, in questo caso, il tentativo di criptare tantissimi file in un tempo breve (in sé criptare un file non sarebbe sbagliato, ma un numero elevato è altamente sospetto).
Sommando all’analisi del comportamento lato Client di Endpoint Protection l’analisi a livello Network eseguito dal FIREWALL, con i due sistemi che dialogano con SOPHOS UTM (Unified Threat Management) si hanno probabilità ancora maggiori di intercettare Malware di questo tipo e bloccarli prima che effettuino danni.
Se avete il sospetto di essere stati infettati, potete rimuovere il Malware con il Free Virus Removal Tool, anche se purtroppo non si può fare nulla per i file criptati se non pagare il riscatto.
Tenere comportamenti sicuri
Rispettare alcune norme di sicurezza è sicuramente il metodo più efficace per proteggere il proprio computer.
Questo norme sono:
- Effettuare Backup regolari dei propri dati
- Effettuare aggiornamenti regolari del proprio sistema operativo e Antivirus
- Non aprire mail sospette e non scaricarne gli allegati: molti Malware vengono trasmessi in questo modo
- Disabilitare ActiveX nei programmi del pacchetto Office: molti Malware giungono attraverso quel canale
- Installare un Firewall
- Disabilitare qualunque connessione remota dal Desktop se non necessaria
- Bloccare le connessioni %APPDATA% and %TEMP%