Come si possono recuperare i dati da un hard disk che sembra presentare evidenti segni di infezione? È del tutto sconsigliato collegare il sistema a un’altra rete senza prima averlo completamente disinfettato. Anzi, sarebbe preferibile proprio astenersi dal compiere questa operazione ponendo in essere una serie di attività atte a evitare l’eventuale ulteriore diffusione dell’infezione.
Quando si collega un sistema infetto alla rete, i malware in esso presenti potrebbero aggredire gli altri sistemi collegati in LAN. Se la rete non risultasse adeguatamente segmentata (ad esempio mediante configurazione e utilizzo di VLAN; ne abbiamo parlato nell’articolo: Come collegare dispositivi insicuri o non affidabili alla rete locale), l’infezione potrebbe facilmente diffondersi sfruttando vulnerabilità note, la presenza di cartelle condivise e i privilegi dei vari account utente.
Eliminare le infezioni prima di recuperare i file
Non è mai una buona idea continuare a utilizzare il sistema precedentemente infetto, anche dopo la rimozione delle minacce. I principali strumenti antimalware integrano routine che si occupano di ripristinare, ove possibile, la configurazione di Windows eliminando non solo l’infezione ma correggendo anche gli interventi del malware.
Continuare a usare un sistema Windows così com’è dopo la rimozione dell’infezione è comunque rischioso perché modifiche residue rimaste sul sistema a seguito dell’azione del malware potrebbero rendere la macchina più vulnerabile e potenzialmente più esposta a rischi di attacco.
Prima di procedere con il recupero dei dati dall’hard disk, suggeriamo quindi di utilizzare uno strumento come Malwarebytes Chameleon che permette di eliminare le infezioni anche nelle situazioni più difficili.
Mentre Windows è in esecuzione, infatti, il malware potrebbe riconoscere i tentativi di utilizzo di soluzioni per la sicurezza e neutralizzarle. Chameleon va scaricato usando un PC “pulito” quindi copiato in una chiavetta USB estraendo uno dei file contenuti nell’archivio compresso.
I file presenti nell’archivio hanno nomi non riconducibili all’antimalware di Malwarebytes ma svolgono tutti la stessa funzione: una volta avviati provano ad avviare la scansione del sistema e la successiva rimozione dei malware presentandosi come browser, salvaschermo, file della guida utente e componenti di Windows. Come un camaleonte sa adattarsi all’ambiente che lo circonda, anche Malwarebytes Chameleon prova a utilizzare le stesse tattiche “per passare inosservato”.
A questo punto il suggerimento consiste nel creare un supporto di avvio (una chiavetta USB) con il software Kaspersky Rescue Disk.
Per procedere in tal senso basta utilizzare il software Rufus (vedere Rufus, guida all’uso del programma per creare supporti avviabili) impostandolo così come segue:
In particolare, in Dispositivo/unità si dovrà scegliere la chiavetta USB all’interno della quale si desidera salvare Kaspersky Rescue Disk; cliccando su Seleziona, si deve indicare il file krd.iso
precedentemente scaricato dal sito web di Kaspersky mentre in Sistema destinazione scegliere BIOS o UEFI in modo che Kaspersky Rescue Disk possa essere correttamente caricato su qualunque sistema, vecchio o nuovo.
L’intera procedura dovrà essere effettuata su una macchina “sicura”, esente da qualunque problema.
Suggeriamo quindi di spegnere il sistema Windows che dà problemi e solo a questo punto collegare la chiavetta USB generata su un’altra macchina. All’accensione del PC assicurarsi che il boot venga eseguito da tale supporto di avvio (verificare le impostazioni di BIOS/UEFI).
Premendo il tasto ESC, il sistema non verrà più avviato in Windows ma verrà caricato Kaspersky Rescue Disk, contenuto nella chiavetta USB.
Dopo aver accettato le condizioni della licenza d’uso spuntando entrambe le caselle, si accederà al desktop della distribuzione Linux utilizzata da Kaspersky Rescue Disk.
Come primo passo, è fondamentale fare clic su Update now in modo da aggiornare il motore di scansione antimalware: comparirà una schermata a sfondo nero e Kaspersky Rescue Disk inizierà il download degli aggiornamenti (sono automaticamente rilevate e configurate le principali schede di rete).
Cliccando su Change parameters, bisognerà selezionare l’intera unità nella quale è installato Windows quindi avviare la scansione cliccando su Start scan.
Kaspersky Rescue Disk provvederà a esaminare l’intero contenuto di hard disk o SSD e a rimuovere (o meglio, porre in quarantena) eventuali infezioni.
Recupero dati da hard disk e SSD
Una volta controllato che sull’unità oggetto di scansione non sono più presenti infezioni, è possibile utilizzare sempre Kaspersky Rescue Disk per recuperare i dati e salvarli su un’unità esterna.
Suggeriamo di collegare al sistema un hard disk esterno via USB (vedere Hard disk esterno, i parametri da tenere presenti nella scelta) e trasferirvi tutti i file che interessano.
Per procedere basta fare doppio clic su Volumes quindi selezionare il disco rigido oppure l’unità SSD (di solito da sda2
in avanti) quindi selezionare i file e le cartelle da trasferire nell’unità rimovibile.
Usando i comandi Edit, Copy per copiare gli elementi selezionati quindi portandosi nell’hard disk rimovibile e scegliendo Edit, Paste, si potranno trasferire tutte le informazioni d’interesse.
Se nel caso della maggior parte degli utenti, la cartella Users
contiene la maggior parte delle informazioni utili, nell’articolo Di quali file è importante creare backup in Windows? abbiamo visto quali sono le altre cartelle che su un sistema Windows sarebbe opportuno “backuppare“.
A questo punto, dopo aver scollegato l’hard disk esterno, collegato a un sistema pulito, effettuata una nuova scansione antimalware del suo contenuto, si potrà verificare il contenuto delle cartelle oggetto di backup. Nel caso in cui si rilevassero problemi in fase di apertura delle varie cartelle, è possibile applicare i suggerimenti illustrati nell’articolo Non si dispone delle autorizzazioni necessarie per accedere alla cartella: come risolvere.
Interessante la presenza, tra gli strumenti offerti in Kaspersky Rescue Disk, di una funzionalità per ripristinare il corretto avvio di Windows (Windows Unlocker) nel caso in cui esso non dovesse più avviarsi. Per maggiori informazioni vedere questa pagina di supporto.
I suggerimenti sin qui presentati sono applicabili, ovviamente, nel caso in cui l’intera unità non sulla quale si desidera intervenire non fosse stata crittografata utilizzando Bitlocker, VeraCrypt o altri tool similari.