Rimuovere i malware al boot del sistema con Kaspersky Rescue Disk

Lo strumento di supporto Kaspersky Rescue Disk è uno dei migliori in circolazione. Quando si ha a che fare con malware particolarmente radicati sul sistema, la cui eliminazione pare piuttosto difficoltosa, è possibile orientarsi su un software gratuito come quello offerto dal noto produttore russo Kasperksy. Si tratta di un disco di emergenza (può essere memorizzato su chiavetta USB così come su un supporto CD; il file ISO di Kaspersky Rescue Disk pesa poco più di 200 MB) che è basato sul kernel Linux (in particolare, sulla distribuzione Gentoo) e che consente di rimuovere le minacce presenti su qualunque sistema Windows accedendo direttamente al suo file system ed alle informazioni contenute nel registro. Effettuando la pulizia prima di accedere al sistema operativo, si eviterà che vengano caricati gli eventuali malware presenti e che questi interagiscano con la procedura di rilevamento e rimozione.
L’ambiente di lavoro proposto da Kaspersky Rescue Disk è eccellente: una comoda interfaccia grafica consente non solo di avviare la procedura di aggiornamento delle firme virali e di effettuare la scansione dei dischi fissi ma anche di “sbloccare” l’accesso ad sistema nel caso in cui il personal computer fosse stato infettato, ad esempio, da qualche ransomware. Si tratta di una particolare categoria di malware che generalmente prende in ostaggio una porzione del sistema (alcune tipologie di file, cartelle o lo stesso master boot record). Per maggiori informazioni in merito, vi suggeriamo di fare riferimento a questi nostri articoli.
Lo strumento che permette di “liberare” il sistema dai ransomware si chiama Windows Unlocker ed è presente di default nel pacchetto di Kaspersky Rescue Disk. Diversamente dalle altre componenti del disco di emergenza, Windows Unlocker non dispone di un’interfaccia grafica: si tratta di uno strumento “pronto per l’uso” che, in modo del tutto automatizzato, si occupa di esaminare il contenuto del registro di sistema diagnosticando e rimuovendo chiavi collegate all’azioni dei malware più pericolosi.

Kaspersky Rescue Disk integra, inoltre, un “file manager”, utilissimo per recuperare i propri file nel caso in cui il sistema non risultasse più avviabile o comunque per effettuare un backup di sicurezza prima di procedere con eventuali disinfezioni, il browser Mozilla Firefox, la classica finestra del terminale Linux, un’utilità (“Schermata“) per salvare – sotto forma di immagine – quanto visualizzato sullo schermo (il file d’immagine sarà memorizzato in C:\Kaspersky Rescue Disk 10.0\Screenshots) ed, infine, un’utility per la configurazione della connessione di rete.

Nel nostro caso, non appena avviato Kaspersky Rescue Disk, la connessione di rete ethernet è risultata immediatamente abilitata e funzionante (grazie anche all’attivazione del server DHCP sul nostro router). Diversamente, ci si potrà connettere alla rete locale proprio ricorrendo all’utilità Configura rete.

Preparare il supporto d’avvio con Kaspersky Rescue Disk

Il primo passo da compiere consiste nell’effettuare il download del file ISO di Kaspersky Rescue Disk con Windows Unlocker.
Tale file ISO potrà essere masterizzato su un supporto CD anche se il nostro consiglio è quello di memorizzarlo, insieme con le proprie utilità preferite, in una chiavetta USB preparata usando un software free qual è YUMI. Si tratta di un’applicazione gratuita che abbiamo più volte presentato nelle pagine de IlSoftware.it e che consente di rendere avviabile una qualunque chiavetta USB inserendovi tutte le utilità che si ritengono opportune: la scelta è vastissima e spazia dal CD di ripristino di Windows ai software per il recupero dati, delle password, per il disk imaging, per il partizionamento del disco, per la cancellazione sicura dei dati, per il controllo antivirus ed antimalware. YUMI consente di eseguire da un supporto USB qualsiasi distribuzione Linux (d’altra parte anche Kaspersky Rescue Disk, essa stessa, è basata su Gentoo).
Alcune indicazioni per usare YUMI sono riportate in questo articolo oppure qui, dove spieghiamo come inserire CloneZilla.

Kaspersky stessa ha preparato il software Rescue2USB che, una volta scaricato ed avviato consente di inserire il Rescue Disk, automaticamente, in una chiavetta USB. Basta selezionare l’ISO di Kaspersky Rescue Disk, l’unità USB di destinazione quindi fare clic sul pulsante Start:

Diversamente rispetto a YUMI, però, nella chiavetta USB non sarà possibile inserire ulteriori utilità.

Avvio di Kaspersky Rescue Disk al boot del sistema

Lasciando inserita nel sistema in uso la chiavetta USB od il supporto CD di Kaspersky Rescue Disk, dovrebbe comparire – al boot del personal computer – la schermata che segue:

Premendo un tasto qualsiasi, si accederà ad un menù di scelta mediante il quale si potrà selezionare la lingua preferita (l’italiano).
A questo punto, si potrà scegliere Kaspersky Rescue Disk. Modalità grafica in modo che l’ambiente di lavoro possa essere usato facendo ricorso ad una comoda interfaccia grafica.

Al termine del boot, si dovrà accettare le condizioni d’uso del prodotto premendo il tasto “A”.

Non appena si farà ingresso nell’ambiente di lavoro di Kaspersky Rescue Disk, ci si troverà dinanzi ad una finestra come quella seguente:

In calce alla schermata principale, si noterà una “barra delle applicazioni” simil-Windows sulla quale verranno elencate le finestre e le utilità aperte. Il pulsante posto sulla sinistra consente di accedere ad un menù di scelta che ricorda quello proprio di Windows.

Impostazione della connessione di rete e download degli aggiornamenti

Come primo passo, è necessario verificare che la connessione di rete funzioni correttamente. A tale scopo, è possibile avviare il Browser web e provare accedere ad un qualunque sito Internet:

In alternativa, è possibile aprire una finestra Terminale e digitare, per esempio, ping www.google.it -w 5:

Se si otterranno delle risposte, significa che la connessione di rete è perfettamente funzionante. In caso contrario, è necessario cliccare sulla voce Configura rete, cliccare sul pulsante Configurazione scheda di rete quindi scegliere l’interfaccia di rete da impostare:

Dopo aver completato quest’operazione, si dovrà cliccare sulla scheda Aggiornamento quindi su Avvia aggiornamento. In questo modo si preleveranno, dai server di Kaspersky, i database delle firme virali aggiornati all’ultima versione:

Queste informazioni verranno automaticamente salvata, in diverse sottocartelle, all’interno della directory C:\Kaspersky Rescue Disk 10.0. Così facendo, ogniqualvolta si riutilizzerà il supporto di Kaspersky Rescue Disk, non si sarà costretti a riscaricare manualmente tutte le definizioni antivirus.

Cliccando su Impostazioni, è possibile personalizzare il comportamento di Kaspersky Rescue Disk indicando, ad esempio, file e cartelle che non debbono essere mai oggetto d’esame.

Le regolazioni avanzate, Windows Unlocker ed il file manager Xfe

Per impostazione predefinita, il software mostra un avviso al termine della scansione mostrando un resoconto su tutte le minacce che dovessero essere individuate (“Visualizza gli avvisi al termine della scansione“):

Se si desidera che la pulizia del sistema venga effettuata in automatico, senza nulla chiedere all’utente, si può selezionare l’opzione Applica la seguente azione. Lasciando selezionate entrambe le caselle Disinfetta e Elimina se la disinfezione fallisce, Kaspersky Rescue Disk cercherà, ove possibile, di rimuovere le minacce dai file infetti cancellando completamente gli oggetti infetti qualora la disinfezione dovesse dare esito negativo.
Molto importante il pulsante Impostazioni perché potrebbe essere di grande aiuto nel caso in cui la scansione del sistema dovesse tardare ad essere completata. Per default, infatti, il motore antimalware di Kaspersky analizza qualunque tipo di file decomprimendo il contenuto degli archivi compressi. Nel caso di archivi di dimensioni molto grandi ciò potrebbe essere causa di pesanti rallentamenti. Per ovviare a questo tipo di difficoltà, è generalmente sufficiente fare clic sul pulsante Impostazioni, su Avanzate ed attivare la casella Non decomprimere i file compositi molto grandi.

Nella precedente finestra, inoltre, è possibile spuntare la casella Ignora i file analizzati per più di 30 secondi in modo tale che Kaspersky Rescue Disk non perda troppo tempo ad esaminare file di grandi dimensioni che, difficilmente, contengono minacce.

Confermando le scelte (pulsante OK), cliccando su Avvia scansione personalizzata (scheda Scansione personalizzata) ed accertandosi di selezionare le unità disco d’interesse, Kaspersky Drive Rescue inizierà la procedura di analisi dell’intero file system:

Al termine della scansione, il rapporto dettagliato potrà essere eventualmente salvato sotto forma di file.

Riprendere il controllo di Windows nel caso di “ransomware” e malware pericolosi

Lo strumento aggiuntivo Kaspersky Windows Unlocker è avviabile sempre dal menù “Start” del Rescue Disk, cliccando sul pulsante in basso a sinistra. L’applicazione provvederà, automaticamente, a porre sotto la lente il registro di sistema nella sua interezza rilevando e rimuovendo ogni traccia di eventuali infezioni da malware.

Recuperare file e cartelle personali

Kaspersky Rescue Disk, come anticipato nell’introduzione, offre un comodo “file manager” (Xfe), che può essere usato per recuperare agevolmente file e cartelle dal disco fisso anche quando Windows non riesce più ad avviarsi correttamente. Qualora si avesse la necessità di collegare un’unità USB in modo da memorizzarvi dei dati, suggeriamo di farlo prima di effettuare il boot con Kaspersky Rescue Disk. Così facendo, l’unità rimovibile sarà immediatamente “vista” dalla distribuzione Gentoo sulla quale il software di Kaspersky si basa e sarà accessibile dal “file manager“.
Per “esplorare” il contenuto di qualunque unità disco collegata al personal computer, basterà avviare il “File manager” quindi selezionare la voce discs:

Le cartelle ed i file selezionati potranno quindi essere spostati, copiati o cancellati liberamente.