Di recente si sente molto parlare di virus (o meglio di “ransomware”) e in particolare del cyber attack WannaCry, che ha colpito più di 200 mila sistemi in circa 150 paesi in tutto il mondo. Si è trattato di uno dei più importanti attacchi informatici degli ultimi tempi e come tutti i virus di tipo ransomware è riuscito a prendere in “ostaggio” il computer o a criptare dei documenti importanti per poi richiedere un vero e proprio riscatto (da pagare tramite la moneta BitCoin).
L’attacco si è verificato il 12 maggio 2017 e il virus è riuscito ad accedere ai PC tramite un allegato e-mail e sfruttando la vulnerabilità SMB sul disco rigido del sistema. Inoltre il virus si è velocemente diffuso su quasi tutti i computer via internet (se connessi alla stessa rete). Il ransomware ha attaccato ogni tipo di file corrompendo l’intero sistema del PC in pochi secondi. Se anche tu sei stato vittima di questo attacco ma hai ancora controllo sul sistema del computer ecco i passi da seguire per Rimuovere Ransomware WannaCry dal PC
Rimuovere il ransomware è importante perchè se lasciato “incustodito” può gradualmente passare a intaccare l’intero archivio e tutti i file presenti sul computer. Ecco i passi da seguire per procedere alla sua rimozione definitiva dal PC:
Passo 1. Utilizza le opzioni della cartella per rendere visibili tutti i file e le cartelle
Poiché il malware non è visibile è necessario assicurarsi che nessun file sia nascosto nel sistema. Per fare questo accedi alle opzioni “Cartella” e rendi visibili tutti i file nascosti. È possibile far ciò anche andando in Pannello di controllo> Aspetto e personalizzazione> Opzioni cartella. Qui accedi alla scheda Visualizza e seleziona l’opzione di “Mostra file nascosti, cartelle e unità“. Adesso, applica queste impostazioni per rendere visibile tutti i file, inclusi il ransomware.
Passo 2. Riavvia il PC in modalità provvisoria
Adesso è indispensabile avviare il sistema Windows in modalità provvisoria. Per fare questo basta riavviare il sistema e quando si riavvia, premere il tasto F8 a intervalli di 1 secondo fino a quando non appare la schermata con le opzioni di avvio avanzate. Tramite i tasti freccia seleziona “Modalità provvisoria” e premi Invio per attivare il sistema in tale modalità.
Passo 3. Accedi alla finestra Gestione Attività e termina i processi sospetti
Premi contemporaneamente i tasti Ctrl + Shift + ESC e si aprirà la finestra “Gestione Attività”. Da qui dovrai manualmente esaminare tutti i processi in esecuzione sul sistema. Clicca con il pulsante destro del mouse sul processo sospetto e seleziona “Termina” per chiuderlo.
NB: Puoi trovare una lista di possibili processi di ransomware qui: https://id-ransomware.malwarehunterteam.com/
Passo 4. Blocca l’avvio del Ransomware
Per impedire l’avvio del Ransomware è necessario assicurarsi che il sistema sia completamente pulito. Per farlo devi rimuoverlo usando msconfig. Basta cliccare i tasti Windows + R oppure aprire manualmente il prompt “Esegui”. Qui digita “msconfig” e premi Invio.
Si aprirà un’altra finestra per la configurazione del sistema. Vai nella scheda Avvio e deseleziona tutte le voci relative a un produttore sconosciuto.
Dopo aver fatto queste modifiche puoi riavviare il sistema in modalità normale. Questo ti consentirà di rimuovere definitivamente il Ransomware dal sistema. Ovviamente assicurati anche di avere installato sul tuo computer un programma antivirus valido ed aggiornato che potrà sempre aiutarti a scoprire eventuali attacchi o file sospetti.
Come recuperare i file crittografati da WannaCry o altro Ransomware?
Dopo aver bloccato e rimosso il ransomware, potresti avere la necessità di decrittografare i tuoi dati o documenti. Puoi provare a farlo con uno strumento di crittografia ma le possibilità di ottenere risultati fruttuosi sono molto basse. Infatti WannaCry Ransomware utilizza una crittografia RSA + AES, la quale risulta molto difficile da decifrare, anche con l’uso di un programma anti-ransomware professionale.
La cosa positiva però è che WannaCry non crittografa direttamente il file originale ma fa una copia del file stesso prima di crittografarlo. I file originali vengono cancellati dal sistema ma potrai provare a recuperarli utilizzando il potente programma Data Recovery.
Data Recovery potrà fare una scansione del tuo PC e andare infatti a recuperare i file originali che sono stati attaccati dal ransomware. Questi file originali non saranno crittografati e quindi potrai sostituirli a quelli compromessi. Grazie alla funzione “anteprima” del programma potrai visualizzare i dati trovati nella memoria del PC e capire se sono presenti quelli che vuoi recuperare
GloboSoft è una software house italiana che progetta e sviluppa software per la gestione dei file multimediali, dispositivi mobili e per la comunicazione digitale su diverse piattaforme.
Da oltre 10 anni il team di GloboSoft aggiorna il blog Softstore.it focalizzandosi sulla recensione dei migliori software per PC e Mac in ambito video, audio, phone manager e recupero dati.
