Gli esperti di sicurezza non raccomandano agli utenti di riavviare il computer dopo aver subito un'infezione da ransomware, poiché ciò potrebbe aiutare il malware in determinate circostanze.
Invece, gli esperti raccomandano alle vittime di ibernare il computer, scollegarlo dalla propria rete e rivolgersi a una società di supporto IT professionale. Anche spegnere il computer è un'alternativa, ma ibernarlo è meglio perché salva una copia della memoria, dove alcuni ceppi ransomware scadenti a volte possono lasciare copie delle loro chiavi di crittografia [1, 2].
Gli esperti raccomandano di riavviare il PC perché un recente sondaggio condotto su 1.180 adulti statunitensi vittime di ransomware negli ultimi anni ha dimostrato che quasi il 30% delle vittime ha scelto di riavviare il proprio computer per affrontare l'infezione.
Ma mentre il riavvio in modalità provvisoria è un buon modo per rimuovere i vecchi tipi di ransomware screenlocker, non è consigliabile quando si tratta delle versioni ransomware moderne che crittografano i file.
"In genere, l'eseguibile [ransomware] che crittografa effettivamente i tuoi dati è progettato per eseguire la scansione di unità collegate, mappate e montate su una determinata macchina. A volte si blocca o viene bloccato da un problema di autorizzazione e interrompe la crittografia", Bill Siegel, CEO & Co-Founder di Coveware, una società che fornisce servizi di recupero dati ransomware, ha dichiarato a ZDNet in una e-mail questa settimana.
"Se riavvii la macchina, si riavvierà e proverà a finire il lavoro", ha detto Siegel.
"Una macchina parzialmente crittografata è solo parzialmente crittografata a causa di qualche errore o problema fortunato, quindi le vittime dovrebbero trarne vantaggio e NON lasciare che il malware finisca il suo lavoro ... non riavviare!"
Siegel ha dichiarato a ZDNet che i consigli si applicano sia agli utenti aziendali che a quelli domestici.
Inoltre, le vittime del ransomware dovrebbero anche tenere presente che ci sono due fasi di un processo di recupero del ransomware che devono affrontare.
Il primo è trovare gli artefatti del ransomware - come processi e meccanismi di persistenza di avvio - e rimuoverli da un host infetto.
Il secondo è ripristinare i dati se è disponibile un meccanismo di backup.
Siegel avverte che quando le aziende mancano o saltano sul primo passaggio, il riavvio del computer spesso riavvia il processo del ransomware e finisce per crittografare i file ripristinati di recente, il che significa che le vittime dovranno riavviare il processo di recupero dei dati da zero.
Nel caso delle imprese, ciò aumenta i tempi di fermo e costa i profitti operativi dell'azienda.