10694 Letture
Ransomware, come li blocca Windows 10

Ransomware, come li blocca Windows 10

Abbiamo provato la funzionalità per il blocco dei ransomware in Windows 10. L'impressione è complessivamente positiva ma quanta strada c'è da fare in termini di usabilità.

Largamente anticipato nei mesi scorsi, con il rilascio del pacchetto di aggiornamento Fall Creators Update, Windows 10 si è arricchito di una nuova funzionalità per bloccare i ransomware.

I ransomware, com'è noto, sono una particolare categoria di malware che - una volta in esecuzione sul sistema - va alla ricerca dei file personali dell'utente (documenti, fogli elettronici, database, foto, immagini, file di testo,...) e provvede a crittografarli con una chiave privata che è mantenuta segreta. Cancellando definitivamente i file originali (wiping) e le copie shadow di Windows, il ransomware provvede quindi a chiedere un riscatto in denaro (generalmente in Bitcoin) per la restituzione dei documenti dell'utente.

Nel Windows Defender Security Center di Windows 10, dopo l'installazione del Fall Creators Update, si troverà una nuova funzionalità per bloccare i ransomware a livello di sistema operativo.


Ransomware, come li blocca Windows 10

Il funzionamento del blocco ransomware di Windows 10 è molto semplice e non è propriamente una novità assoluta. Diversi altri antimalware offrono una funzionalità molto simile che si occupa, appunto, di bloccare l'azione dei ransomware autorizzando l'accesso alle cartelle contenenti documenti personali solo a programmi e applicazioni approvati espressamente dall'utente (Bitdefender utilizza proprio questo approccio: Bitdefender Internet Security 2018: proteggere Windows a 360 gradi).

Digitando Windows Defender Security Center nella casella di ricerca di Windows 10 Fall Creators Update quindi cliccando sull'icona a forma di scudetto (Protezione da virus e minacce) e su Impostazioni di Protezione da virus e minacce, scorrendo le varie opzioni si troverà anche Accesso alle cartelle controllato.

Ransomware, come li blocca Windows 10

Si tratta della nuova funzionalità antiransomware di Windows 10: attivandola e cliccando su Cartelle protette si potranno verificare le directory sulle quali il sistema operativo ha posto una sorta di "cane da guardia" a livello di file system.


Ransomware, come li blocca Windows 10

Di default Windows 10 protegge tutte le cartelle di sistema (Documenti, Immagini, Video, Musica, Video, Desktop, Preferiti...) e riconosce anche le directory che fossero state spostate altrove usando questo "trucco": Spostare cartella documenti e download in un altro disco.
Nulla vieta di aggiungerne altre che saranno egualmente protette dall'antiransomware di Windows 10.

Ogniqualvolta un'applicazione (anche quelle legittime) tenterà di scrivere all'interno delle cartelle protette, Windows 10 mostrerà un messaggio d'allerta nell'angolo inferiore destro dello schermo.

Facendo clic su tale messaggio d'allerta, si potrà aggiungere le applicazioni conosciute e benigne alla white list.

Ransomware, come li blocca Windows 10

Purtroppo la nuova funzionalità Accesso alle cartelle controllato non poggia su un database di applicazioni conosciute e ritenute affidabili quindi anche per i programmi più noti Windows 10 al momento mostra il messaggio d'allerta.

Non trovandosi in grado di apportare modifiche sulle cartelle controllate, i programmi possono esporre i messaggi di errore più disparati: talvolta si farà correttamente riferimento a errori di I/O anche se in altri casi l'errore sarà di primo acchito meno intellegibile (i.e. "il file non è stato trovato").

Ignorando il messaggio d'allerta in basso a destra, poi, non è immediato risalire al nome del file eseguibile che è stato bloccato da parte della funzionalità Accesso alle cartelle controllato.

Dopo aver creato un permesso nella schermata Consenti app tramite accesso alle cartelle controllato, si dovrà inoltre necessariamente chiudere e riavviare l'applicazione per poter scrivere con successo nella cartella protetta da Windows.


A noi poi è capitato che provando ad estrarre il contenuto di un file Zip in una cartella protetta dall'antiransomware di Windows 10, sia comparso il messaggio d'allerta riferito addirittura al processo explorer.exe.
Pur inserendo explorer.exe nella "white list" vista in precedenza non siamo riusciti a salvare direttamente i file provenienti dall'archivio Zip.
L'unica soluzione è stata quella di chiudere e riavviare la shell di Windows aprendo il prompt dei comandi e digitando quanto segue:

taskkill /im explorer.exe /f
explorer.exe


In definitiva, quindi, la la funzionalità per bloccare i ransomware di Windows 10 Fall Creators Update funziona bene e sembra offrire una protezione adeguata dei file personali a livello di file system ma è ancora certamente suscettibile di migliorie soprattutto sul piano dell'usabilità.

Per maggiori informazioni sui ransomware suggeriamo di fare riferimento al nostro articolo di approfondimento Ransomware: cos'è, come proteggersi e recuperare i file cifrati.


Ransomware, come li blocca Windows 10 - IlSoftware.it