I casi di WannaCry prima e Petya (o Nyetya che sia) dopo stanno dimostrando che liberarsi definitivamente dei ransomware non sarà cosa facile.

Non potendo eliminare il male alla radice, è bene potenziare al massimo le difese.

Di questo parere è anche Microsoft, che nell'ultima build di Windows 10 (la 16232) ha aggiunto una misura di sicurezza pensata proprio per minimizzare i rischi derivanti da questo particolarmente sgradevole tipo di malware.

Non perderti anche:

Bug in Windows Defender rosicchia le prestazioni del PC

Studenti e lavoratori in smart working nel mirino dei ransomware

Non più Petya, scoperto Nyetya

Windows 10 S violato in appena tre ore con le macro di Word

Il problema dei ransomware è che il sistema non deve semplicemente difendere l'accesso ai file da parte degli utenti non autorizzati, operazione che già viene adeguatamente svolta con le politiche legate ai permessi.

Per bloccare un ransomware bisogna impedire delle attività - la criptazione dei file - condotta dallo stesso utente che di quei file è proprietario e sui quali ha quindi tutti i permessi di lettura e scrittura: un compito la cui realizzazione non è immediata.

La soluzione di Microsoft si chiama Controlled folder access (Accesso controllato alla cartelle), ed è integrata in Windows Defender, il software antimalware integrato nel sistema.

Con il controllo degli accessi l'utente può indicare alcune cartelle come «protette» mentre altre, come la cartella Documenti, sono considerate protette per impostazione predefinita.

La protezione funziona in questo modo: alle cartelle protette possono accedere soltanto quelle applicazioni indicate in una lista bianca (che già comprende di default alcune applicazioni considerate sicure), mentre tutte le altre saranno bloccate da Windows Defender.

In teoria il sistema è ottimo: un ransomware non sarà certamente incluso nella lista delle applicazioni abilitate, e quindi non potrà compiere il suo sporco lavoro sui dati.

D'altra parte, però, per funzionare bene questo sistema necessita che sia impedito lo sfruttamento di applicazioni autorizzate da parte dei malware, che potrebbero usarle per mascherarsi: se per esempio un hacker sviluppasse un ransomware che sfrutti una macro di Word per criptare i file, facendosi così passare per il programma di videoscrittura di Microsoft agli occhi di Windows Defender, il nuovo sistema di protezione non potrebbe fare alcunché.