Come eliminare un ransomware, passo dopo passo

By | Settembre 17, 2022
eliminare ransomware

La prevenzione è fondamentale quando si tratta di infezioni da ransomware. Ma ci sono modi per recuperare i dati se un dispositivo è compromesso. Scoprite i quattro passaggi chiave per eliminare un ransomware. Un attacco ransomware può essere debilitante, indipendentemente dal fatto che la vittima sia un’azienda individuale o una grande multinazionale. Vedere il display di un computer che mostra che i sistemi sono compromessi o cercare di accedere a file criptati ed essere sollecitati da una richiesta di denaro per sbloccare o decriptare crea il panico più totale. Senza l’accesso ai file e ai sistemi aziendali, il lavoro si ferma e l’attività viene irrimediabilmente danneggiata. Sapere come rilevare, rispondere e rimuovere ransomware, in caso di attacco, è fondamentale per ridurre al minimo i danni.


Come rilevare un attacco ransomware

La prevenzione è fondamentale. Una volta che il ransomware ha infettato un sistema, può essere difficile, se non impossibile, da rimuovere. Tuttavia, il ransomware viene spesso rilevato solo dopo che viene annunciato da un aggressore, ad esempio tramite un pop-up sullo schermo. Altri indicatori di infezione da ransomware sono gli avvisi del software antimalware, il rallentamento delle prestazioni del sistema, il blocco dell’accesso ai file e il comportamento anomalo della rete.

Leggi anche: I nove migliori antivirus online

Il ransomware può essere rimosso?

Eliminare ransomware è una sfida. A volte è possibile rimuovere il ransomware, altre volte è impossibile eliminare il malware dai sistemi che ha infettato. La chiave è ridurre al minimo la probabilità che qualsiasi tipo di malware, compreso il ransomware, penetri nella rete dei sistemi. A tal fine, è necessario attenersi alle seguenti best practice di sicurezza:

  1. Non collegare i dispositivi a una rete infetta o sospetta.
  2. Non accedere a siti web che appaiono sospetti.
  3. Non aprite gli allegati delle e-mail sospette.
  4. Non cliccate sui link contenuti nelle e-mail, nei post sui social media o in altri messaggi potenzialmente pericolosi.
  5. Non installare software e contenuti pirata o sconosciuti.
  6. Non parlate con gli autori del reato e non pagate le richieste di riscatto.
  7. Installate un software antimalware sul sistema e tenetelo aggiornato.
  8. Configurare uno o più firewall con impostazioni di sicurezza forti e regole regolarmente aggiornate.
  9. Eseguite il backup dei file e dei sistemi operativi in luoghi sicuri; prendete in considerazione l’utilizzo del cloud storage per i backup.
  10. Conservare i file in un’unità esterna separata.
  11. Eseguite periodicamente dei test sulle reti per identificare attività sospette.

Come eliminare ransomware, guida passo passo

Gli attacchi ransomware superano inevitabilmente le difese di sicurezza, a prescindere dalla preparazione e dall’igiene di sicurezza adeguate. A questo punto, è fondamentale rilevare l’attacco il prima possibile e impedire che si diffonda ad altri sistemi e dispositivi. Sia gli individui che le organizzazioni possono seguire questi passaggi per eliminare cryptolocker. I dipendenti colpiti da ransomware devono informare immediatamente il proprio manager e il team di help desk.

  1. Isolare il dispositivo infetto. Scollegare immediatamente il dispositivo interessato da qualsiasi connessione cablata o wireless, compresi Internet, reti, dispositivi mobili, unità flash, dischi rigidi esterni, account di archiviazione cloud e unità di rete. In questo modo si eviterà che il ransomware si diffonda ad altri dispositivi. Inoltre, verificare se eventuali dispositivi collegati al dispositivo infetto sono stati infettati dal ransomware. Se il riscatto non è ancora stato richiesto, rimuovete immediatamente il malware dal sistema. Se il riscatto è stato richiesto, siate cauti nel trattare con gli autori del furto, se mai lo farete. Molte fonti, tra cui l’FBI, raccomandano di non pagare il riscatto.
  2. Determinare il tipo di ransomware. Sapere quale ceppo di ransomware ha infettato il dispositivo può essere d’aiuto negli sforzi di bonifica. Se l’accesso al dispositivo è bloccato, come nel caso del ransomware locker, potrebbe non essere possibile. Il dispositivo infetto potrebbe dover essere esaminato da un professionista della sicurezza esperto o diagnosticato con uno strumento software. Alcuni strumenti sono disponibili come freeware, mentre altri richiedono un abbonamento a pagamento.
  3. Rimuovere il ransomware. Prima di ripristinare il sistema, è necessaria la rimozione del ransomware. Durante l’hack iniziale, il software ransomware infetta il sistema e cripta i file e/o blocca l’accesso al sistema. Solo una password o una chiave di decrittazione può sbloccare o decrittare la restrizione.

Esistono alcune opzioni per eliminare ransomware:

  1. Controllate se il ransomware è stato eliminato. A volte il ransomware si elimina dopo aver infettato un sistema; altre volte rimane su un dispositivo per infettare altri dispositivi o file.
  2. Utilizzare un antimalware/anti-ransomware. La maggior parte dei software antimalware e anti-ransomware può mettere in quarantena e rimuovere il software dannoso.
  3. Chiedete aiuto a professionisti della sicurezza. Collaborate con un professionista della sicurezza, sia all’interno dell’organizzazione che presso un’assistenza tecnica di terzi, per aiutarvi a rimuovere il ransomware.
  4. Rimuovetelo manualmente. Se possibile, controllate il software installato su un dispositivo e disinstallate il file ransomware. Questa operazione è consigliata solo a professionisti della sicurezza esperti.

Si noti che, anche se il ransomware viene rimosso, potrebbe essere difficile accedere ai file crittografati. Sono disponibili strumenti di decriptazione dei ransomware e molte opzioni antimalware e anti-ransomware offrono questa funzione. Tenete però presente che gli strumenti di decriptazione non sono disponibili per tutti i ceppi di ransomware. Nell’ambito delle attività forensi, i team IT devono eseguire una scansione dettagliata del dispositivo o del sistema per assicurarsi che non rimangano residui di ransomware. Potrebbe essere necessario mettere in quarantena i dispositivi colpiti per assicurarsi che vengano puliti a fondo prima di rimetterli in servizio.

Leggi anche: Che cos’è un attacco malware da download drive-by?

Recupero del sistema

Recuperare i file ripristinando una versione precedente del sistema operativo prima che si verificasse l’attacco. Se i backup non sono stati crittografati o bloccati, ripristinarli utilizzando la funzione di ripristino del sistema. Si noti che i file creati dopo la data dell’ultimo backup non verranno ripristinati. La maggior parte dei sistemi operativi mainstream dispone di strumenti per il recupero dei file e di altre funzionalità per il ripristino dei sistemi compromessi. Dopo aver ripristinato il sistema, assicurarsi di eseguire le seguenti operazioni:


  1. Aggiornate tutte le password e i codici di accesso di sicurezza il prima possibile.
  2. Verificare che le regole del firewall e il software antimalware siano aggiornati. Se necessario, sostituite il software di sicurezza con uno più potente.
  3. Seguite le misure di prevenzione del ransomware per evitare future infezioni da ransomware.
Author: Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!