Come difendersi dai nuovi virus Ransomware e ripristinare i dati criptati?

I nuovi virus di tipo Ransomware, ultimamente portati alla ribalda da TeslaCrypt e Cryptolocker e varianti, hanno come obiettivo non il sistema informatico in senso stretto ma i dati.

I computer e i sistemi si possono sostituire anche rapidamente, ma i dati, sono il bene primario dell'azienda, i malintenzionati provano a richiedere un riscatto per renderli nuovamente utilizzabili.

Ovviamente, si sconsiglia di perseguire la strada di pagare i malintenzionati, sia per una questione di principio sia per la mancanza di garanzie nel ripristino.

La miglior difesa rimane in questi casi la prevenzione, RHX ha sempre consigliato di tenere sotto controllo il sistema informatico e l'accesso a Internet utilizzando policy di accesso ai dati regolamentate e il controllo sulle mail in transito e il traffico web. Utilizzare privilegi limitati sull'uso dei computer e buone norme di condotta nell'utilizzo dei sistemi che sono da intendersi come strumento di lavoro.

Tutto questo limita l'esposizione ai problemi, tuttavia la sicurezza si può riporre solo nell'implementazione e attuazione di una efficiente procedura di backup.

Caso analizzato:

  • ore 8:40 il cliente non riesce ad accedere a dei file e rileva che sono rinominati in .micro
  • ore 10:00 un solo computer infetto è riuscito a criptare file locali e molti file delle condivisioni di rete a cui ha accesso
  • ore 10:30 viene sospesa la condivisione dei file e staccato il PC infetto dalla rete
  • ore 11:30 l'archivio (circa 50 Gb e 52000 file) è ripristinato dalla copia di backup delle ore 00:30

Il cliente riprende a lavorare tranquillamente su una copia dei dati perdendo pochi minuti di lavoro.

La soluzione si basa quindi su una efficiente procedura di backup, che per essere tale deve basarsi su alcuni di validità generale:

  • i dispositivi utilizzati devono essere separati e/o separabili dalla fonte dei dati (limita la possibilità che il backup sia perso assieme all'archivio)
  • i dispositivi utilizzati per i backup devono essere "agganciati" e rimossi dopo ogni utilizzo
  • deve essere conservato uno storico sufficiente per il ripristino non solo del giorno prima (es. 7 giorni, 4 settimane, 3 mesi)
  • le procedure di backup vanno verificate e testate periodicamente

Documenti correlati



Ritorna all'indice dei Documenti