Passa al contenuto principale

Eliminare il ransomware | Decriptaggio dei dati: come neutralizzare il virus

Infezione da ransomware significa che i dati sono stati criptati o il sistema operativo risulta bloccato dai cybercriminali. Questi criminali di solito chiedono un riscatto per decriptare i dati. Il ransomware può infiltrarsi in un dispositivo in diversi modi. I più comuni includono infezioni da siti Web dannosi, componenti aggiuntivi indesiderati nei download e spam. Gli attacchi ransomware hanno come obiettivo sia gli utenti privati che le aziende. Si possono adottare diverse misure per proteggersi dagli attacchi ransomware, ma prestare la massima attenzione e scegliere il software idoneo sono sempre i passi fondamentali da compiere. Un attacco ransomware comporta la perdita di dati, costi in denaro elevati o entrambi.

Rilevamento del ransomware

Come scoprire se il vostro computer è infetto? Ecco alcuni modi per rilevare un attacco ransomware:

  • Lo scanner anti-virus attiva un allarme: se installato nel dispositivo, uno scanner anti-virus può rilevare velocemente le infezioni da ransomware, a meno che non venga aggirato.
  • Controllare le estensioni dei file: la normale estensione di un file di immagine, ad esempio, è ".jpg". Se questa estensione è stata sostituita da una combinazione di lettere non familiare, potrebbe essere in corso un'infezione da ransomware.
  • Modifica dei nomi: i file hanno nomi diversi da quelli scelti da voi? Il programma dannoso, quando cripta i dati, spesso modifica il nome del file. Pertanto anche questo potrebbe essere un indizio.
  • Aumento dell'attività della CPU e del disco: l'aumento dell'attività del disco o del processore principale potrebbe indicare che il ransomware sta operando in background.
  • Comunicazioni di rete dubbie: l'interazione del software con il cybercriminale o con il server dell'autore dell'attacco può dar luogo a comunicazioni di rete sospette.
  • File criptati: un segnale tardivo dell'attività del ransomware è l'impossibilità di aprire i file.

Infine, una finestra contenente una richiesta di riscatto conferma che è in corso un'infezione da ransomware. Quanto prima viene rilevata la minaccia, tanto più è facile combattere il malware. Il rilevamento tempestivo di un'infezione da trojan di criptaggio può consentire di determinare il tipo di ransomware che ha infettato il dispositivo finale. Molti trojan di estorsione si autoeliminano dopo l'esecuzione del criptaggio e quindi non possono essere esaminati né decriptati.

Si è verificata un'infezione da ransomware: quali sono le opzioni?

I ransomware sono in genere di due tipi: ransomware locker e crypto-ransomware. Un virus ransomware locker blocca l'intero schermo, mentre il crypto-ransomware cripta "solo" i singoli file. Indipendentemente dal tipo di crypto-trojan, le vittime di solito hanno tre opzioni:

  1. Possono pagare il riscatto e sperare che i cybercriminali mantengano la parola e decriptino i dati.
  2. Possono provare a eliminare il malware con gli strumenti disponibili.
  3. Possono ripristinare le impostazioni predefinite del computer.

Eliminare i trojan di criptaggio e decriptare i dati: funzionamento

Il tipo di ransomware e la fase raggiunta dall'infezione da ransomware al momento del rilevamento hanno entrambi un impatto considerevole sulla lotta contro il virus. Non è possibile eliminare il malware e ripristinare i file con ogni variante del ransomware. Ecco tre modi per combattere un'infezione.

Rilevamento del ransomware: agire il prima possibile

Se il ransomware viene rilevato prima della richiesta di riscatto, è possibile eliminare il malware. I dati che sono stati criptati fino a quel momento rimangono tali, ma il virus ransomware può essere fermato. Grazie a un rilevamento tempestivo è possibile impedire al malware di diffondersi in altri dispositivi e file.

Se eseguite il backup dei dati in un dispositivo esterno o nel cloud, sarete in grado di recuperare i dati criptati. Ma cosa potete fare se non avete una copia di backup dei dati? Vi consigliamo di contattare il provider della soluzione per la sicurezza su Internet. Potrebbe già essere disponibile uno strumento di decriptaggio per il ransomware di cui siete stati vittime. Potete anche visitare il sito Web del progetto No More Ransom. Questa pregevole iniziativa del nostro settore è stata creata per aiutare tutte le vittime di ransomware.

Istruzioni per eliminare il ransomware di criptaggio dei file

Se siete stati vittime di un attacco ransomware di criptaggio dei file, potete seguire questa procedura per eliminare il trojan di criptaggio.

Step 1: Disconnettersi da Internet

Per prima cosa, rimuovere tutte le connessioni sia virtuali che fisiche, inclusi i dispositivi wireless e cablati, i dischi rigidi esterni ed eventuali supporti di archiviazione e account cloud, allo scopo di impedire la diffusione del ransomware nella rete. Se sospettate che siano state colpite altre aree, seguite la procedura di backup seguente anche per tali aree.

Step 2: Eseguire un'analisi con il software per la sicurezza su Internet

Eseguite una scansione anti-virus con il software per la sicurezza su Internet installato, allo scopo di identificare le minacce. Se trovate file pericolosi, potete eliminarli o metterli in quarantena. Potete eliminare i file dannosi manualmente o automaticamente tramite il software anti-virus. L'eliminazione manuale del malware è consigliabile solo per gli utenti esperti.

Step 3: Utilizzare uno strumento di decriptaggio del ransomware

Se il computer è stato infettato da un ransomware che cripta i dati, sarà necessario uno strumento di decriptaggio appropriato per ottenere di nuovo l'accesso. Noi di Kaspersky analizziamo continuamente i tipi di ransomware più recenti per poter rendere disponibili gli strumenti di decriptaggio più appropriati per il contrattacco.

Step 4: Ripristinare il backup

Se avete eseguito il backup dei dati su un dispositivo esterno o nel cloud, create un backup dei dati non ancora criptati dal ransomware. Se non avete alcun backup, sarà molto più difficile eseguire la pulizia e il ripristino del computer. Vi consigliamo di creare regolarmente i backup per evitare di trovarvi in questa situazione. Se siete soliti dimenticarvi di queste cose, utilizzate i servizi di backup automatico su cloud oppure impostate un promemoria sul calendario.

Come eliminare il ransomware di blocco dello schermo

Nel caso del ransomware di blocco dello schermo, la vittima deve prima superare la sfida di riuscire ad accedere al software per la sicurezza. Avviando il computer in Modalità provvisoria, è possibile che l'azione di blocco dello schermo non venga caricata e che la vittima riesca a usare il programma anti-virus per combattere il malware.

Pagamento del riscatto: sì o no?

Pagare il riscatto èin genere sconsigliabile. La linea di non negoziazione che di norma viene seguita nelle situazioni con ostaggi reali dovrebbe essere adottata anche quando a essere in ostaggio sono i dati. Non è consigliabile pagare il riscatto perché non c'è garanzia che gli estorsori manterranno realmente la promessa di decriptare i dati. Inoltre il pagamento finirà per alimentare questo tipo di crimine, che invece dovrebbe essere scoraggiato a qualsiasi costo.

Se siete ugualmente decisi a pagare il riscatto, evitate di eliminare il ransomware dal computer. Infatti, a seconda del tipo di ransomware o del piano previsto dal cybercriminale per il decriptaggio, il ransomware potrebbe essere il solo modo per applicare un codice di decriptaggio. L'eliminazione prematura del software renderebbe inutilizzabile il codice di decriptaggio, acquistato a caro prezzo. Se invece avete effettivamente ricevuto un codice di decriptaggio funzionante, è opportuno eliminare il ransomware dai dispositivi non appena i dati siano stati decriptati.

Tipi di ransomware: in quali modi è possibile procedere?

Ci sono molti tipi di ransomware, alcuni dei quali possono essere disinstallati in pochi clic. Esistono tuttavia anche varianti diffuse del virus, la cui eliminazione è molto più lunga e complessa.

Per eliminare e decriptare i file infetti, sono disponibili opzioni diverse a seconda del tipo di ransomware. Non esiste uno strumento di decriptaggio universale che funzioni per tutte le numerose varianti del ransomware.

Per eliminare correttamente il ransomware, è importante rispondere alle domande seguenti:

  • Che tipo di virus ha infettato il dispositivo?
  • Esiste un programma di decriptaggio idoneo e, se sì, quale?
  • In che modo il virus si è infiltrato nel sistema?

Se ad esempio Ryuk è entrato nel sistema attraverso Emotet, il problema va gestito diversamente. Si si tratta di un'infezione causata da Petya, la Modalità provvisoria è un buon modo per rimuoverla. Altre informazioni sulle diverse varianti del ransomware sono disponibili qui.

Conclusione

Nonostante tutte le migliori precauzioni, non si può mai escludere con assoluta certezza un attacco ransomware. Se il peggio dovesse accadere, è possibile limitare le conseguenze dell'attacco adottando un software per la sicurezza eccellente come quello di Kaspersky, preparandosi in modo adeguato e procedendo con attenzione. Tenendo presenti i segnali di avvertimento di un attacco ransomware, potete rilevare e combattere tempestivamente un'infezione. Tuttavia, anche se è stato chiesto un riscatto, avete a disposizione diverse opzioni, tra le quali scegliere quella più adatta alla vostra specifica situazione. Ricordate che eseguendo regolarmente il backup dei dati, sarà possibile ridurre drasticamente l'impatto di un attacco.

Eliminare il ransomware | Decriptaggio dei dati: come neutralizzare il virus

Rilevamento dei trojan di criptaggio, eliminazione del ransomware dal computer e decriptaggio dei dati. Ecco come fare.
Kaspersky logo