La vastissima diffusione di infezioni da ransomware come Cryptolocker e simili ben evidenzia quanto l’installazione del singolo software antivirus non sia più sufficiente. Per proteggersi dai malware è importante adottare una soluzione antivirus/antimalware che non si basi solamente sulle firme virali e sull’euristica per riconoscere le minacce. È bene invece orientarsi su prodotti più moderni che integrino uno strumento capace di bloccare le minacce esaminandone il comportamento (funzionalità di analisi comportamentale) e magari che utilizzino anche un sistema di scansione basato sul cloud (intelligenza collettiva).
Nell’articolo Infezione da Cryptolocker e CryptoWall: dati in pericolo abbiamo visto come anche i malware tecnicamente meglio sviluppati continuino ad utilizzare la posta elettronica come veicolo per la loro diffusione.
I ransomware che prendono in ostaggio i file personali dell’utente vengono principalmente diffusi avviando pesanti campagne spam/phishing. Sempre più di frequente, nelle caselle e-mail degli italiani, arrivano messaggi che sembrano provenire da corrieri espressi o da società che richiedono il pagamento di fatture. In realtà, aprendo l’allegato al messaggio, viene aperta la porta all’insediamento del malware sul sistema.
Scansione antivirus online: un ottimo strumento per prevenire i problemi
L’utilizzo di un antimalware che integri funzionalità di analisi comportamentale e di “intelligenza collettiva” è sicuramente una buona mossa per evitare la maggior parte delle infezioni.
In ambito professionale, presso gli studi professionali o nelle imprese, sarebbe opportuno valutare soluzioni di protezione integrata che agiscano a livello centralizzato.
In Windows, poi, è possibile bloccare l’avvio di file eseguibili da alcune cartelle di sistema: Bloccare esecuzione di programmi in Windows.
Quando si esegue un file allegato ad un messaggio di posta, infatti, questo viene caricato dalla cartella dei file temporanei di Windows. Bloccandone l’esecuzione a priori, si eviterà che colleghi, collaboratori o dipendenti poco attenti possano mettere a repentaglio le informazioni memorizzate sul sistema in uso e quelle ospitate all’interno della rete locale.
Ad ogni modo, però, effettuare una scansione antivirus online di quei file che appaiono sospetti rimane uno dei migliori consigli per evitare di correre rischi.
Attenzione alla provenienza delle e-mail
Il consiglio principe è quello di aprire i file scaricati dal web, dai circuiti peer-to-peer e gli allegati delle e-mail con la massima attenzione.
È bene sempre agire con cautela tenendo presente che anche i messaggi che sembrano provenire da contatti conosciuti possono rappresentare una minaccia.
Il mittente dei messaggi di posta è infatti facilmente modificabile (e-mail spoofing) e non deve essere mai ritenuta un’informazione sufficiente ad identificare con certezza la provenienza del messaggio (ne abbiamo parlato anche nell’articolo Di nuovo e-mail spam da Libero: come può accedere?).
A meno che al messaggio non siano associati record SPF (Sender Policy Framework; un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica), DKIM (DomainKeys Identified Mail; meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari) o comunque l’e-mail non presenti in allegato una firma digitale valida, il vero mittente del messaggio può non essere quello specificato.
Per scoprirlo, infatti, basta esaminare le intestazioni (headers) del messaggio pervenuto nella propria casella di posta elettronica: se l’e-mail è partita da server stranieri ed il contatto che si conosce, invece, utilizza abitualmente server SMTP italiani (oppure, comunque, i server in uscita di Outlook.com, Gmail,…) è altamente probabile che l’e-mail sia stata falsificata.
Nell’articolo Scoprire dove si trova una persona a partire dall’indirizzo IP abbiamo visto come sia possibile analizzare le intestazioni di ogni e-mail ed accertarne la provenienza.
Attenzione alla struttura degli allegati
Un altro consiglio per evitare di cadere nelle maglie di qualche gruppo di criminali informatici, consiste nel verificare, con attenzione, gli allegati al messaggio di posta. Molto spesso, infatti, per indurre in errore gli utenti più frettolosi, gli sviluppatori del malware distribuiscono gli allegati malevoli presentandoli come falsi documenti PDF o archivi Zip.
Il trucchetto della doppia estensione (tenendo presente che Windows, purtroppo, nella configurazione di default non visualizza le estensioni conosciute, comprese quelle dei file eseguibili) è certamente quello più gettonato ma ne vengono sfruttati anche altri: Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi.
Eseguire la scansione online dei file
Quando si hanno dubbi sull’identità di un file è possibile utilizzare diversi strumenti, utili anche per effettuare una scansione antivirus online senza scaricate il file stesso.
Si immagi di ricevere, come spesso succede, un’e-mail contenente un link con il riferimento del file da scaricare. Per sottoporre a scansione antivirus online tale file prima ancora di scaricarlo sul sistema in uso, si può utilizzare due ottimi strumenti Dr.Web e VirusTotal.
Scansione antivirus online con Dr.Web
Per effettuare una scansione antivirus online senza scaricare il file, uno dei migliori strumenti che si possono adoperare è sicuramente Dr.Web.
Visitando questa pagina, è possibile incollare nell’apposita casella, l’URL completo del file da analizzare.
Cliccando sul pulsante Scan, verrà immediatamente avviata la scansione del file indicato, con l’apertura di una schermata del browser a sé.
In alternativa, è possibile incollare l’URL del file da analizzare direttamente nella casella riportata sotto:
Nel caso in cui il file risultasse infetto, Dr.Web visualizzerà il messaggio INFECTED e la finestra aperta si colorerà di rosso.
Accanto all’indicazione File MD5, è riportata la firma MD5 del file appena preso in esame da Dr.Web.
La firma MD5 consente di identificare univocamente un file (viene generata a partire dalla sua struttura e contenuto): MultiHasher: verificare l’integrità di qualunque file in Windows.
Copiando tale stringa alfanumerica in VirusTotal, è possibile controllare immediatamente se il servizio di proprietà di Google sia già a conoscenza del medesimo file.
Scansione antivirus online con VirusTotal
VirusTotal consente di effettuare la scansione online di qualunque file esaminandolo contemporaneamente con le versioni più aggiornate di decine di motori antivirus ed antimalware.
Per analizzare un file memorizzato sul proprio computer, basta fare clic su Scegli il file, nella schermata principale di VirusTotal, individuarlo quindi cliccare su Scansiona.
VirusTotal, però, può essere anche sfruttato per sottoporre a scansione antivirus un file online, evitando di prelevarlo in locale.
Per procedere, è necessario cliccare sulla scheda Cerca.
Incollando l’hash MD5 (la firma MD5) del file da esaminare (desunta dal servizio di scansione di Dr.Web), quindi cliccando sul pulsante Cerca, si otterrà istantaneamente un responso (solamente nel caso in cui lo stesso file fosse stato in precedenza esaminato da parte di altri utenti).
Mentre Dr.Web non indica la minaccia che si cela all’interno del file esaminato, VirusTotal mostra l’elenco dei motori antimalware che hanno rilevato la presenza di un componente dannoso e, per ciascuno di essi, espone la valutazione espressa. È così possibile conoscere anche l’identità del malware.
In alternativa, cliccando sempre sulla scheda Cerca di VirusTotal, si può indicare l’URL remoto del file da sottoporre a scansione. La prima schermata che apparirà, non esprime un giudizio sul contenuto del file remoto bensì fa presente solo se il sito che lo contiene sia affidabile o meno (la presenza di messaggi Malware site o Phishing site dovrebbe subito mettere in guardia).
Cliccando, però, sul link Vai alla analisi del file scaricata, si accederà al risultato dell’analisi compiuta sullo stesso file.
Di solito VirusTotal mostra la prima analisi effettuata (notare la Data analisi). Facendo clic su Leggi gli ultimi, il servizio di Google visualizzerà invece la più aggiornata analisi relativa al medesimo file.
In questo modo, oltre a sapere se il file è effettivamente pericoloso, si può anche verificare quali motori antivirus hanno riconosciuto per primi il malware.
Nell’articolo Scansione antivirus online dei processi in esecuzione avevamo anche spiegato come effettuare una scansione online dei processi in esecuzione sul sistema appoggiandosi sempre a VirusTotal.