Il ransomware WannaCry ha mostrato chiaramente quanto le reti aziendali e i computer dei singoli utenti siano molto più vulnerabili di quanto si creda. È sin troppo facile dare la colpa (a seconda di come la si vede) agli utenti imprudenti che non applicano gli aggiornamenti di sicurezza o proprio del sistema operativo, alle agenzie governative che sviluppano malware, agli hacker ostili che li distribuiscono o a chissà chi. Il dato di fatto è che è molto meglio essere informati e proteggersi. Cerchiamo di capirci qualcosa, allora.
WannaCry tocca anche i Mac?
No, si tratta di un ransomware progettato per diffondersi sulle reti che usano l’implementazione Microsoft di un protocollo (SMB) per il trasferimento file. SMB fa parte anche di macOS, ma qui è leggermente diverso e non ha il punto debole che viene sfruttato da WannaCry.
Ci sono ransomware che attaccano il Mac?
Sì. In passato ce ne sono stati pochi ma nulla vieta di svilupparne di nuovi. La storia recente racconta principalmente di due ransomware pericolosi: FileZip e KeRanger. Il primo si è diffuso presentandosi come una patch per “craccare” applicazioni commerciali in modo da usarle senza pagare. In realtà all’esecuzione cifra i file del disco e poi chiede un riscatto. KeRanger è più subdolo: si è diffuso come un aggiornamento lecito di Trasmission, con tanto di certificato digitale lecito.
Un anti-malware può proteggermi dai ransomware?
Sì e no. Non si può rispondere nettamente di sì perché il rischio di infezione teoricamente non si elimina mai del tutto. Però è chiaro che più difese si aggiungono più il proprio Mac è solido di fronte agli attacchi. macOS ha già un suo anti-malware integrato con XProtect, che agisce in maniera trasparente, poi se ne possono aggiungere altri.
Esistono anche software che non sono propriamente anti-malware ma che possono evidenziare la presenza di un ransomware. Ad esempio Ransomwhere evidenzia l’azione di qualsiasi applicazione “sospetta” che cifri i file del Mac. È comunque un aiuto.
Ci sono altre cose che posso fare per proteggermi?
Sì. E parecchie. Un ransomware in fondo fa una sola cosa: cifra i nostri documenti sul disco interno del Mac e spesso anche su tutti quelli esterni collegati, direttamente (via USB ad esempio) e in rete. Se questi documenti sono disponibili anche altrove, come in un backup (ovviamente non su un disco collegato direttamente al Mac, altrimenti sarà cifrato pure questo) o in cloud, il ransomware di fatto non rappresenta un pericolo ma una seccatura.
Oltre al backup o al salvataggio in cloud, occorre mantenere sistema operativo e applicazioni sempre aggiornati, per evitare che abbiano vulnerabilità sfruttabili. Oltretutto anche XProtect e gli anti-malware vanno aggiornati in questo modo. Altra misura ovvia (ma ignorata): evitare di cliccare su tutto quello che non sia palesemente lecito. Allegati di posta strani, patch per sproteggere applicazioni, utility immancabili scaricate via torrent… l’elenco è lungo.
Un ransomware ha infettato il Mac: devo pagare il riscatto?
No. Anche se moltissimi lo fanno. Innanzitutto non è eticamente giusto, perché si fa il gioco dei criminali e si dà un piccolo ma importante impulso al mercato del ransomware. Poi potrebbe essere inutile: molti ransomware non prevedono affatto la de-criptazione dei file “catturati”. Si paga il riscatto e semplicemente non succede nulla.
La cosa invece da fare è mettere in “isolamento” il Mac scollegandolo da qualsiasi connessione per evitare che il ransomware si diffonda o tocchi altri dischi. Poi bisogna informarsi online (non da quel Mac, ovviamente) per capire quanto il malware che ci ha colpiti si è diffuso e se ci sono forme di reazione possibili. Iniziative come No More Ransom possono portare – in casi limitati, va detto – a tool pre il recupero dei file.
Nel peggiore dei casi il Mac va “pulito” con un anti-malware per eliminare il ransomware (ma noi punteremmo alla formattazione del disco, per evitare ogni possibile rischio) e i documenti persi perché cifrati vanno recuperati altrove.