Come proteggere il PC dal ransomware di criptaggio dei file
Protezione ottimale per Windows
Kaspersky for Windows protegge la tua vita digitale con tecnologie che vanno oltre l'anti-virus.
Il ransomware è un tipo di malware per il criptaggio dei file che prima cripta i file e poi richiede un riscatto per decriptarli. Alcuni programmi criptano i file senza richiedere un riscatto.
Suggerimenti per ridurre i rischi di infezione ransomware
Installa una soluzione di protezione
Le applicazioni Kaspersky con i database più recenti bloccheranno un attacco e impediranno l'installazione di malware nel computer. Le versioni più recenti delle applicazioni Kaspersky sono dotate del componente System Watcher, che crea automaticamente copie di backup dei file se un programma sospetto tenta di accedervi.
Installa gli aggiornamenti
Mantieni aggiornati il software, i sistemi operativi e le applicazioni Kaspersky, in particolare controllando regolarmente le patch che risolvono le vulnerabilità. Il software aggiornato opera sulla patch più recente che riduce le opportunità per gli autori degli attacchi.
Gli aggiornamenti sono il mezzo principale per migliorare la sicurezza, la stabilità e le prestazioni dei sistemi, rimuovono le vulnerabilità e impediscono agli autori degli attacchi di utilizzarle.
Il software fondamentale da aggiornare:
- Patch del sistema operativo
- Plug-in del browser come Flash, Silverlight e così via.
- Applicazioni VPN che forniscono l'accesso ai dipendenti in remoto e fungono da gateway per la rete
Attiva tutti i componenti di protezione delle applicazioni Kaspersky
Tutti i componenti delle applicazioni Kaspersky sono volti alla massima protezione possibile dei dispositivi e alla riduzione dei rischi di infezione ransomware. Verifica che i seguenti componenti siano abilitati:
- Protezione minacce file
- Protezione minacce Web
- Protezione minacce di posta
- Rilevamento del Comportamento
- Prevenzione Exploit
- Protezione AMSI
- Motore di Remediation
- Prevenzione Intrusioni Host
- Kaspersky Security Network
Esegui regolarmente il backup dei file nel cloud o in un'unità esterna
È consigliabile eseguire regolarmente il backup e il ripristino. Anche in caso di attacco ransomware riuscito o di criptaggio dei file, i dati di backup possono essere ripristinati riducendo gli effetti dannosi dell'attacco. Per proteggere i file, crea copie di backup e conservale in un archivio cloud o in un'unità rimovibile.
Non aprire gli allegati nei messaggi e-mail provenienti da mittenti sconosciuti
Spesso il ransomware si diffonde tramite allegati di posta elettronica. I criminali informatici mirano a persuaderti ad aprire l'allegato, motivo per cui nel titolo dell'e-mail alludono a informazioni importanti contenute nel messaggio, come un'ingiunzione del tribunale, una notifica di azione legale, una comunicazione di penale relativa a un pagamento e così via. Controlla sempre l'indirizzo del mittente prima di aprire e-mail o allegati.
Usa password complesse per gli account Windows per la connessione remota
Le password vulnerabili possono essere facilmente indovinate o decifrate, il che può comportare l'acquisizione dell'accesso a dati sensibili da parte degli autori degli attacchi. Per proteggere i tuoi dati personali e i tuoi account dagli attacchi durante la connessione remota, utilizza password complesse. Per istruzioni, consulta questo articolo.
Se stai utilizzando una rete pubblica, gli autori degli attacchi possono utilizzare le funzionalità di Desktop remoto per accedere ai tuoi dispositivi. Connettiti a Desktop remoto solo tramite la rete domestica o aziendale. Per ulteriori informazioni sulle funzionalità Desktop remoto, consulta il sito Web del supporto Microsoft.
Proteggi le cartelle condivise
Gli autori degli attacchi possono utilizzare le cartelle condivise per criptare i file, diffondere malware e spostarsi all'interno della rete dell'organizzazione. Kaspersky Endpoint Security for Windows protegge le cartelle condivise dal criptaggio e può aiutare a impostare password complesse.
Utilizza Kaspersky Endpoint Detection and Response (KEDR) o Kaspersky Managed Detection and Response (MDR)
KEDR e MDR aiuteranno a rilevare e prevenire un attacco in anticipo. Utilizzando queste soluzioni, puoi identificare e monitorare i segnali sospetti.
Proteggi gli account amministratore
Assicurati che gli account amministratore siano protetti da password complesse che vengono cambiate regolarmente (ad esempio ogni 3 mesi). Se possibile, utilizza la verifica in due passaggi per ridurre al minimo i rischi che gli autori degli attacchi ottengano il controllo sulla rete nel caso in cui siano riusciti ad accedere alle credenziali dell'utente.
Monitora le attività sospette
Controlla regolarmente i registri degli eventi e i dati operativi per individuare attività sospette. Monitora il movimento laterale intorno a una rete e presta attenzione al traffico in uscita poiché un utente malintenzionato di solito ha bisogno di una connessione a reti esterne o a strumenti esterni per il furto di dati.
Presta attenzione quando utilizzi PowerShell
La soluzione PowerShell viene spesso utilizzata per gli attacchi ai dispositivi Windows. Anche le minacce ransomware e fileless utilizzano PowerShell per gli attacchi.
Limita l'esecuzione degli script PowerShell. Disabilita l'esecuzione degli script PowerShell non assegnati utilizzando i criteri. Abilita l'esecuzione degli script PowerShell solo per gli account che ne hanno bisogno. Non modificare il criterio delle restrizioni PowerShell (Set-ExecutionPolicy). Nei dispositivi protetti da Kaspersky Endpoint Security for Windows, abilita il componente Controllo adattivo delle anomalie e imposta la regola Attività del motore di script e framework in modalità di blocco.
Configura i criteri
Configura i criteri per ridurre al minimo la quantità di informazioni di rete disponibili per gli utenti i cui account possono essere compromessi. Le informazioni di rete dovrebbero essere limitate in quanto possono essere recuperate dagli autori degli attacchi da un dispositivo violato. Anche se un utente malintenzionato è riuscito a compromettere un account o un computer, il passaggio sopra descritto ridurrà ulteriormente le opportunità di attacco e impedirà l'escalation dei privilegi di un amministratore o di altri dispositivi, il che ridurrà la portata dell'attacco.
Utilizza IDS e IPS per rilevare e prevenire le scansioni di rete
Il primo passaggio di un attacco mirato è quello di raccogliere informazioni. La scansione della rete fornisce agli autori degli attacchi informazioni cruciali, come porte aperte, sistemi operativi e software attivi e stato dei dispositivi di rete. La prevenzione delle scansioni di rete non consentirà agli autori degli attacchi di raccogliere le informazioni importanti e renderà più difficile l'implementazione degli attacchi.
Forma i tuoi dipendenti e promuovi la loro consapevolezza
- Presta attenzione agli allegati di posta elettronica e controlla gli indirizzi e-mail non attendibili. Verifica che il componente Protezione minacce di posta sia abilitato in Kaspersky Endpoint Security for Windows. Il componente esegue la scansione e protegge i computer da allegati dannosi.
- Fai attenzione ai collegamenti insoliti inviati nelle e-mail o da altre piattaforme di messaggistica. Anche se un collegamento viene inviato da qualcuno che conosci, potrebbe essere stato violato.
- Scopri come riconoscere collegamenti e file dannosi, individuare segni di attività sospette nei tuoi dispositivi e account, utilizzare password complesse e verifica in due passaggi, aggiornare regolarmente il sistema operativo e il software personali, disconnettere i tuoi sistemi ogni volta che non richiedono più l'accesso.
Kaspersky offre un corso specializzato sulla cybersecurity: Automated Security Awareness Platform. Questa piattaforma fornisce conoscenze e sviluppa competenze e pratiche di igiene informatica.
Suggerimenti per la configurazione delle impostazioni di sistema
Crea punti di ripristino del sistema ed esegui il backup dei file
Crea regolarmente punti di ripristino del sistema ed esegui il backup dei file importanti su un'unità rimovibile. In questo modo potrai ripristinare il sistema operativo allo stato non infetto e recuperare rapidamente i file in caso di infezione o malfunzionamento del sistema.
Per ulteriori informazioni sulle funzionalità di backup e ripristino, consulta il sito Web del supporto Microsoft.
Vieta la connessione remota al computer
Per impedire ai criminali informatici di connettersi in remoto al computer, vieta questo tipo di connessione nelle impostazioni del computer:
- Apri la casella di ricerca e inserisci "pannello di controllo". Seleziona Pannello di controllo.
- Fai clic su Sistema e sicurezza, quindi seleziona Sistema.
- Seleziona System protection (Protezione sistema).
- Accedi alla scheda Connessione remota. Deseleziona la casella di controllo Consenti connessioni di Assistenza remota al computer e seleziona la casella di controllo Non consentire connessioni remote al computer. Fai clic su OK.
L'accesso remoto al computer verrà negato.
Suggerimenti per la configurazione delle applicazioni Kaspersky
- Imposta una password per l'accesso alle impostazioni dell'applicazione Kaspersky. Per istruzioni, consulta la Guida online:
- Abilita la funzionalità System Watcher nell'applicazione Kaspersky.
Questa funzionalità blocca ed esegue il rollback delle azioni dannose, rileva e rimuove i banner e crea copie di backup dei file in caso di tentativi di accesso sospetti. Per istruzioni sulla configurazione, consulta la Guida online:
Suggerimenti per il decriptaggio dei file
Prova a ripristinare i file
Puoi ripristinare i file utilizzando gli strumenti di Windows predefiniti. Consulta le istruzioni nel sito Web del supporto Microsoft.
Disabilita l'eliminazione automatica dei file dannosi rilevati
Se è installata un'applicazione Kaspersky, apri le impostazioni dell'applicazione e deseleziona la casella di controllo Esegui automaticamente le azioni consigliate nella sezione Generale.
È consigliabile non rimuovere i file infetti dalla quarantena poiché possono contenere chiavi per il decriptaggio.
Invia i file sospetti per l'analisi
Contatta il servizio clienti di Kaspersky. Allega alla richiesta un file criptato o il messaggio e-mail.
Se utilizzi Kaspersky Endpoint Security for Windows, invia una richiesta all'Assistenza tecnica di Kaspersky tramite Kaspersky CompanyAccount.
Gli ingegneri di Kaspersky non possono garantire che i file danneggiati vengano decriptati.
Esegui una scansione e rimuovi il malware dal computer
Esegui una scansione completa del computer per trovare la causa dell'infezione ed eliminarla. Se non disponi di una soluzione di protezione installata, utilizza uno strumento Kaspersky gratuito: Kaspersky Security Cloud Free, Kaspersky Rescue Disk o Kaspersky Virus Removal Tool (in inglese).
Come comportarsi in presenza di un file sospetto nel computer
Se hai individuato un file sospetto che potrebbe aver infettato il computer o criptato i file, puoi:
- Esaminare i file alla ricerca di minacce note tramite OpenTIP. Se necessario, informa gli esperti di Kaspersky di un falso rilevamento o di un nuovo software dannoso. A tale scopo:
- Fai clic su Submit to reanalyze (Invia per eseguire nuovamente l'analisi) nella pagina dei risultati della scansione.
- Inserisci l'indirizzo email per un eventuale contatto.
- Fai clic su Invia.
- Contatta il servizio clienti di Kaspersky. Allega il file sospetto alla tua richiesta e scrivi nella sezione della descrizione "possibile ransomware (cryptoransomware)".
Se utilizzi Kaspersky Endpoint Security for Windows, invia una richiesta all'Assistenza tecnica di Kaspersky tramite Kaspersky CompanyAccount. - Inviare i file per l'analisi a newvirus@kaspersky.com. A tale scopo, aggiungi il file sospetto a un archivio ZIP o RAR. Imposta la parola "infetto" come password per l'archivio e seleziona la casella di controllo Encrypt file names (Cripta i nomi dei file). Per istruzioni, consulta questo articolo (in inglese).
Possibili posizioni dei file ransomware
- APPDATA
Windows NT/2000/XP — Drive:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista/7/8/10 — Drive:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP (catalogo temporaneo)
%TEMP%\xxxxxxx.tmp\, dove x sta per caratteri compresi tra a e z o per numeri compresi tra 0 e 9
%TEMP%\xxxxxxx.tmp\xx\, dove x sta per caratteri compresi tra a e z o per numeri compresi tra 0 e 9
%TEMP%\xxxxxxx\, dove x sta per caratteri compresi tra a e z o per numeri compresi tra 0 e 9
%WINDIR%\Temp
- Cartella dei file temporanei di Internet Explorer
Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, dove x sta per caratteri compresi tra a e z o per numeri compresi tra 0 e 9
- Desktop
%UserProfile%\Desktop\
- Cestino
Disk:\Recycler\
Disk:\$Recycle.Bin\
Disk:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (dove ? sta per numeri compresi tra 0 e 9)
- Directory di sistema
%WinDir%
%SystemRoot%\system32\
- Cartella dei documenti dell'utente
%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads
- Cartella dei download del browser
%USERPROFILE%\Downloads
- Cartella di avvio
%USERPROFILE%\Start Menu\Programs\Startup