Citando Symantec, Achab sottolinea come i convenzionali antivirus basati su firme siano a tutti gli effetti inefficaci contro i CryptoVirus. Ad oggi, servono sistemi attivi e proattivi, in grado di reagire autonomamente alle sollecitazioni provenienti dal web. Il ciclo “virus – firme – rilascio patch” è troppo lento e inadeguato, richiede molti campioni per l’aggiornamento e non è consente al software di protezione di rimanere al passo con attacchi exploit sempre più sofisticati e intelligenti. Gli attacchi moderni sfuggono agli antivirus perché mettono in atto azioni diverse in base a location, sono in grado di mantenersi in stasi fino al verificarsi di un determinato evento e attivano componenti in modalità casuale.
Non solo, le mutazioni più recenti si “adattano” all’antivirus e sono capaci di avviare attività di hijack di processi regolari, in modo totalmente trasparente all’antivirus. Su queste basi, nel tempo, sono stati disegnati virus capaci di lavorare senza un’impronta sul disco fisso, totalmente in RAM, o di infettare direttamente il file system, agendo direttamente attraverso le chiamate di Windows. I “Fileless virus”, in aggiunta, adottano un legittimo file di Windows, inserendo stringhe nel file di registro ed eseguendo una versione zombie di dllhost.exe e un portable powershell. Ciò rende l’attacco totalmente invisibile all’antivirus dato che l’esecuzione stessa non avviene a partire da un file ma da un processo avviato automaticamente attraverso il registry. Detto questo è possibile affermare che i moderni CryptoVirus sono tra i più complessi mai creati, data la natura variabile e polimorfica. Se, a questo, aggiungiamo il fatto che gli antivirus attuali non sono strutturati per questo tipo di minacce, il rischio di contagio e diffusione è davvero molto alto.
Come proteggersi al meglio? Achab suggerisce pochi e semplici passaggi, che vanno a formare un insieme di regole da applicare sui sistemi di casa e di lavoro. Oltre a un antivirus solido è opportuno garantirsi il costante aggiornamento e l’applicazione di patch per il sistema operativo e per tutti i programmi e le utility che utilizziamo. Anche il web browser deve essere aggiornato e, possibilmente, munito di ad-blocker, in grado di effettuare una prima scrematura dei contenuti.
Per quanto riguarda le email, vettore preferenziale per questo genere di attacchi, è opportuno imporre filtri capaci di bloccare la ricezione di messaggi sospetti (bloccare SCR, EXE, COM e VBS). A livello di ambiente operativo è bene applicare policy per gli utenti, in modo che accedano alle macchine come standard user, anziché come administrator. La limitazione delle permission consente infatti di limitare lo spazio d’azione delle possibili minacce.
Il backup ricopre un ruolo fondamentale ed è perciò importante irrobustire le policy di salvataggio di dati, in ottica di disaster recovery di macchine e ambienti. Per evitare che anche i percorsi di rete e i NAS aziendali vengano compromessi, Achab suggerisce di abilitare cartelle accessibili a un solo utente, effettuando successivamente il backup con privilegi di amministratore di rete. In questo modo eventuali virus non saranno in grado di cifrare il contenuto dei backup. In generale, le policy di gestione sono fondamentali, è necessario bloccare l’esecuzione nella cartelle “temp”, “appdata” e la creazione di entry nella “startup”. Achab suggerisce di bloccare l’accesso a Volume Shadow Copy Service (VSS) e di disabilitare Windows Script Host, per bloccare script VBS. Un aiuto può arrivare anche dal versatile Cryptoprevent, disponibile anche in modalità portable e command line per RMM tools e studiato proprio per prevenire l’intrusione di codice che possa facilitare l’esecuzione dei CryptoVirus.
