Cosa fare quando il ransomware colpisce
Pubblicato: 2022-12-19Gli attacchi ransomware sono in aumento. Anche se prendi le migliori misure di sicurezza per prevenire attacchi ransomware, i malintenzionati possono crittografare con successo i tuoi file o bloccare il tuo dispositivo. Quindi, sapere cosa fare quando il ransomware colpisce può tenerti ordinato quando vedi una richiesta di riscatto sullo schermo del tuo dispositivo.
Questo articolo spiegherà tutto ciò che dovresti sapere per resistere (e recuperare) a un attacco ransomware. Immergiamoci:
Cos'è il ransomware?
Il ransomware è un software dannoso o malware che blocca un dispositivo o crittografa i dati su di esso, impedendo a un utente di accedere al dispositivo o ai dati. L'utente si presenta quindi con una richiesta di riscatto in cambio dello sblocco del dispositivo o della decrittazione dei dati.
Esistono principalmente due tipi di ransomware, destinati ai proprietari di piccole imprese. Uno è Locker, che blocca il dispositivo; e un altro è Crypto che crittografa i dati su un dispositivo.
In che modo il ransomware attacca le piccole imprese
Esistono diversi modi in cui possono verificarsi infezioni da ransomware. Ecco i principali vincitori di attacchi ransomware che dovresti conoscere per evitare di essere vittima di un attacco ransomware:
- Allegati e-mail dannosi
- Siti Web compromessi con codice dannoso nascosto
- Pop-up
- Campagne smishing rivolte alle app di messaggistica istantanea
Gli attacchi di ingegneria sociale, che possono includere una qualsiasi delle tattiche sopra menzionate, sono uno dei metodi più efficaci per installare ransomware sui dispositivi delle vittime.
Che cos'è un piano di risposta al ransomware?
Un piano di risposta ransomware delinea i passaggi da seguire durante un attacco ransomware. È come una procedura operativa standard (SOP) che la tua azienda seguirà in caso di incidente ransomware. Un piano di risposta al ransomware ti aiuta anche a prepararti meglio per attacchi futuri.
Le aziende con piani di risposta al ransomware definiti hanno meno probabilità di pagare il riscatto per recuperare informazioni e dati critici.
Cosa fare durante un attacco ransomware
Di seguito è riportato un processo dettagliato da seguire durante un attacco ransomware:
1. Disconnettere il dispositivo infetto
In un attacco ransomware, è essenziale disconnettere il sistema informatico infetto il prima possibile. In questo modo si impedisce al ransomware di diffondersi ad altri dispositivi sulla rete, limitando il danno arrecato. Impedisce inoltre all'attaccante di continuare ad accedere ai tuoi file e crittografarli.
Se il sistema infetto ha un'unità di archiviazione esterna collegata, rimuoverla dal sistema. Quindi, dovresti controllare altri sistemi informatici nella tua rete per qualsiasi segno di infezione da ransomware. È bene disattivare la rete del computer condiviso fino a quando non si è sicuri che gli altri sistemi nella rete non siano interessati.
2. Rimani calmo e composto
Quando un attacco ransomware colpisce il tuo computer, può essere facile farsi prendere dal panico e iniziare a fare clic freneticamente sui pulsanti per risolvere il problema. Tuttavia, ciò può peggiorare la situazione e rendere più difficile per i professionisti IT rimuovere correttamente il ransomware.
È importante mantenere la calma e la calma durante un attacco ransomware. Fai un respiro profondo e ricorda che il panico non risolverà nulla. Contatta immediatamente il tuo dipartimento IT o un professionista esterno e segui attentamente le loro istruzioni.
3. Informare le Agenzie Legali
La segnalazione dell'attacco alle forze dell'ordine competenti non solo aiuta nelle loro indagini, ma può anche portare alla condivisione di informazioni importanti con altre organizzazioni e individui, fornendo una protezione fondamentale contro attacchi simili in futuro.
Inoltre, se si contatta un'autorità incaricata dell'applicazione della legge, ciò può spesso comportare assistenza per il recupero o vantaggi assicurativi che potrebbero rivelarsi inestimabili per rimettere in funzione la propria attività.
4. Non pagare il riscatto
Sebbene si possa essere tentati di pagare il riscatto e andare avanti dopo un attacco ransomware, è importante ricordare che farlo non fa altro che alimentare il fuoco per futuri attacchi. E non vi è alcuna garanzia che riceverai indietro le tue informazioni o dati sensibili dopo aver pagato il riscatto.
5. Modifica password
Quando si verifica un attacco ransomware, è necessario modificare tutte le password online e degli account dopo aver disconnesso il dispositivo infetto. Questo perché non sai come il ransomware è entrato nel sistema informatico e se l'hacker ha rubato le tue credenziali di accesso. Una volta rimossa l'infezione da ransomware, è necessario modificare nuovamente tutte le password.
6. Cerca uno strumento di decrittazione
Se la nota di riscatto non dice il nome del ransomware, puoi utilizzare uno strumento come Crypto Sheriff o ID Ransomware per conoscere il ceppo della crittografia del ransomware. Una volta identificato il ceppo ransomware, cerca sul Web la chiave di decrittazione appropriata. Molte risorse Web dispongono di strumenti di decrittazione per ransomware noti.
È possibile controllare No More Ransom, AVG Decryption Tool e Kaspersky Free Recovery Tools per determinare se la chiave di decrittografia è disponibile.
7. Rimuovere il ransomware
Puoi utilizzare un noto strumento di rimozione ransomware, come Malwarebytes Premium, Hitman Pro o Bitdefender per rimuovere l'infezione da ransomware. Dovresti assumere un esperto di sicurezza informatica per rimuovere l'infezione se non ne hai uno.
Dopo aver rimosso il ransomware, è necessario aggiornare i sistemi operativi di tutti i computer. Inoltre, dovresti aggiornare tutte le applicazioni software che utilizzi nella tua azienda.
8. Costruisci il tuo sistema
Hai rimosso l'infezione, aggiornato i sistemi operativi e installato le applicazioni software. Ora è il momento di ricostruire il tuo sistema. Anche se puoi decrittografare i dati, non dovresti usarli. Se possibile, dovresti ripristinare i dati dal backup. Ma prima di farlo, dovresti scansionare il tuo backup alla ricerca di malware.
9. Scopri il vettore di attacco
Conduci ricerche post-azione per capire come è avvenuto l'attacco ransomware. Il primo posto da cui iniziare è la tua squadra. Organizza una riunione del team e fai un esame approfondito per trovare la causa principale dell'infezione: il modo in cui il ransomware è entrato nel sistema informatico.
10. Adottare misure per prevenire attacchi futuri
Una volta che conosci il vettore di attacco, dovresti adottare le misure di sicurezza necessarie per prevenire attacchi futuri. La maggior parte degli attacchi ransomware avviene a causa di un errore umano. Pertanto, la formazione dei dipendenti e l'installazione di un software di protezione ransomware affidabile può prevenire attacchi ransomware e violazioni dei dati.
Qual è la migliore difesa contro un attacco ransomware?
La tua migliore difesa contro un attacco ransomware sono i tuoi dipendenti perché il phishing è la principale causa di infezione da ransomware. Quindi, forma i tuoi dipendenti sulle migliori pratiche di sicurezza informatica.
La formazione sulla sicurezza informatica li aiuterà a contrastare con successo un tentativo di phishing o qualsiasi altro attacco di social engineering. Il miglior software antivirus o antimalware non può proteggere i tuoi sistemi informatici e file importanti se i tuoi dipendenti sono negligenti in materia di sicurezza informatica.
Qual è il primo passo dopo che un sistema è stato infettato da software dannoso ransomware?
Il primo passo dopo che un sistema è stato infettato da software dannoso ransomware è disconnettere il dispositivo infetto dalla rete e disattivare la sua connessione Internet. Se è presente un disco rigido esterno collegato al dispositivo di infezione, rimuoverlo e verificarne la presenza di dati crittografati.
Come viene utilizzato il protocollo desktop remoto nel ransomware?
Remote Desktop Protocol (RDP) è la tecnologia più popolare utilizzata dai lavoratori remoti per connettersi con il server di un'organizzazione. Le connessioni del protocollo desktop remoto compromesse stanno diventando un popolare vincitore degli attacchi ransomware perché il numero di persone che lavorano in remoto è in costante crescita.
Immagine: Depositphotos