Introduzione

Il 2017 ha visto diversi attacchi ransoware diventare protagonisti anche dei telegiornali (a maggio il “WannaCry”, a giugno “Petya” e, ad ottobre, “Bad rabbit”).

Si stima che lo scorso anno si sia potuta contare una nuova postazione colpita ogni 40 secondi mentre quest’anno si pensa che questo lasso di tempo scenderà a 19 secondi (https://hackercombat.com/year-2018-will-see-ransomware-rise/).

Ti auguro, ovviamente, di non essere mai tra questi fortunati ma, in caso, vorrei esserti d’aiuto e voglio darti una guida da seguire passo passo in modo da massimizzare l’efficacia e ridurre la probabilità d’errore in un momento dove il panico e la fretta potrebbero farla da padroni.

Nell’articolo, non me ne vogliano i puristi, mi riferirò spesso al ransomware anche come Cryptolocker oppure virus. Tecnicamente non è correttissimo, ma è per farsi capire più chiaramente.

Come si capisce che si è stati infettati da un ransomware

L’impossibilità di aprire i file su cui si è lavorato fino a pochi minuti prima e la comparsa di file con strani nomi e/o strane estensioni sono i primi “sintomi” di un’infezione da Cryptolocker.

Di solito il ransomware cambia il nome ai file che vengono criptati, spesso sostituendo l’estensione con il nome stesso del ransomware (per esempio creando file “.zepto” o “.locky”).

Gli utenti che cercano di accedere ad un file su cui di solito lavoravano e che poi è stato criptato ottengono un errore all’atto dell’apertura.

Vengono poi creati dei file di testo (estensione .txt) o file html (estensione .htm o .html) che contengono le istruzioni per fare il recovery dei file (cioè indicazioni su come pagare il riscatto).

Fare una ricerca sul file system aziendale dei file con l’estensione incriminata ti può dare un’idea della diffusione dell’infezione.

Cose da fare

1. staccare il PC dalla rete

Prima di tutto scollega anche tutti i drive esterni o le chiavette USB, perché anche questi potrebbero essere facilmente

criptati.

Poi stacca il tuo computer, o quello di chi ti ha segnalato un’anomalia, dalla rete, sia cablata (staccando il cavo di rete),

sia wifi (se non si sa come disattivare il wifi sul proprio PC vedere QUI:

In questo modo si riduce il rischio che il ransomware si propaghi ad altri computer in rete e che eventuali servizi di file sync and share inizino a sincronizzare i dati criptati, sovrascrivendo quelli validi.

2.    Isolare il file server

Siccome i ransomware criptano anche i file presenti sul file server aziendale e non solo quelli locali ai PC infettati è meglio, se possibile, isolare ai primi sintomi dell’attacco il file server aziendale, rendendolo inaccessibile dai PC potenzialmente infetti.

È molto raro infatti (tranne nel caso di utilizzo di un ambiente terminal server) che il ransomware stia “lavorando” direttamente dal server.

Lo scenario più comune è quello nel quale il virus ha attaccato un PC e da lì ha iniziato a criptare anche i file presenti sul file server.

In questo modo puoi salvare il file server in attesa di eliminare la minaccia. Ovviamente ciò comporta un fermo di rete di una durata non prevedibile in cui nessun utente può accedere ai file aziendali condivisi.

3. Trovare il “paziente zero”

Per capire come è iniziata l’infezione è necessario identificare il “paziente zero”, cioè il primo che ha contratto la malattia.

Non sempre “la prima gallina che canta ha fatto l’uovo”; analogamente non sempre chi segnala la prima anomalia o il primo file criptato è chi ha contratto per primo l’infezione.

In alcuni casi è possibile risalire all’utente colpito per primo guardando le proprietà dei file criptati e verificando chi è il proprietario (owner) del file, per maggiori approfondimenti (https://www.mwrinfosecurity.com/our-thinking/ransomware-detecting-the-source/).

Una volta identificato il paziente zero è opportuno capire cosa ha fatto quando ha innescato l’infezione. È importante non partire con toni accusatori, forti e colpevolizzanti. I moderni ransomware sono fatti veramente bene e non è difficile “cadere in tentazione” e compiere l’azione sbagliata.

Chiedere quindi:

1. avete aperto qualche documento nuovo?
2. Avete cliccato su qualche allegato in un messagio di posta elettronica?
3. Avete visitato qualche sito web che normalmente non visitate?

L’obiettivo di questa fase è quello di capire quale è stato il veicolo dell’infezione per impedire che altri utenti possano cascarci nello stesso modo.

4.Prendere nota del ransoware che ti ha colpito

Stampando una screenshot, oppure facendo una foto dello schermo, è opportuno prendere nota e conservare informazioni del ransomware da cui si è stati colpiti. Questa informazione è utile per documentare l’accaduto e nel caso in cui volessimo fare una denuncia dell’accaduto

5.Identificare da cosa sei stato colpito

Per identificare il tipo di ransomware da cui si è stati colpiti ci sono alcuni servizi online verso i quali si può fare upload di uno o due file criptati e sapere il tipo esatto di ransomware che li ha creati:

1. Crypto Sheriff
2. ID Ransomware

6.Controllare se esistono tool di decrypt disponibili

Sempre sul sito di Crypto Sheriff è possibile sapere se esiste un tool per decriptare i file:

La lista dei tool disponibili viene aggiornata non appena esistono nuovi strumenti disponibili.

In alternativa si possono tentare anche i seguenti link, che dispongo secondo il mio personale ordine di preferenza:

https://www.barkly.com/ransomware-recovery-decryption-tools-search

https://heimdalsecurity.com/blog/ransomware-decryption-tools

https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys

http://www.thewindowsclub.com/list-ransomware-decryptor-tools

https://www.watchpointdata.com/ransomware-decryptors

https://www.avast.com/ransomware-decryption-tools

http://www.avg.com/us-en/ransomware-decryption-tools

https://www.bitdefender.com/free-virus-removal

https://decrypter.emsisoft.com

https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/wildfiredecrypt.aspx

https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

L’elenco di tool di decriptazione che ti ho appena elencato è molto completo ed è difficile che vi siano altri tool “legittimi” e disponibili al pubblico che possano realmente decriptare i vostri file.

“Ma su internet ho trovato qualcuno che garantisce di poter decriptare i file!”

Chi ti garantisce questo o ti sta dicendo una balla oppure si è messo a lavorare in una “zona grigia”. È cioè qualcuno che si pone da intermediario tra te ed i “rapitori” e riesce ad ottenere il programma di decodifica e te lo rivende, magari aggregando diversi malcapitati (a tua insaputa) e presentandosi verso i rapitori con più richieste di riscatto in modo da spuntare un miglior prezzo per la chiave di decodifica.

Definisco questa una “zona grigia” perché tali persone stanno guadagnando vendendoti la chiave di decodifica e spesso millantano di averla elaborata “nei loro laboratori”. Il confine tra essere complici dei criminali ed essere tuoi alleati diventa molto sottile…

Se NON ci sono tool disponibili per decriptare i vostri file ci sono solo due alternative:

1. recuperare (o restorare) i file da un backup funzionante
2. pagare il riscatto ed usare il tool di decriptazione che viene fornito dai cyber criminali

Se non esiste quindi un tool di decrittazione puoi scegliere di recuperare i file dal tuo sistema di backup (ammesso che sia ancora disponibile e funzionante, ma di questo non ci occupiamo in questo articolo).

Prima di procedere con le attività di ripristino (o restore) è meglio formattare completamente il PC o il server che sono stati infettati (vedi paragrafo 8 “Formattare tutto”).

7. Decidere se pagare o meno

7.1 pagare NON è reato

“Riscatto SI, riscatto NO”. Quando si parla di ransomware si arriva (purtroppo) spesso a doversi porre questa domanda e ciò significa che tutte le barriere di difesa sono state superate e che non è stato nemmeno possibile recuperare i file da un backup funzionante.

Analizzare perché si sia arrivati a questo punto è importante per migliorare la sicurezza informatica dell’azienda e per impedire di trovarsi nuovamente in questa situazione ma, nell’immediato, è fondamentale rispondere alla domanda inziale: pagare o no???

Innanzitutto bisogna dire che pagare un riscatto da ransomware NON è un reato ma – sicuramente  – ci si trova di fronte anche ad una scelta etica.

Se nessuno pagasse mai un riscatto i cyber criminali non avrebbero più interesse ad infettare i computer del mondo intero e, quindi, la piaga del ransomware si estinguerebbe in breve tempo.

D’altro canto bisogna domandarsi quali conseguenze comporta perdere completamente la possibilità d’accesso a tutti i file che sono stati criptati:

• Che rischi corre la mia azienda?
• Dovremo sospendere la produzione? E se sì, per quanto?
• Andremo incontro a richieste di risarcimento danni? Di che entità?
• La nostra reputazione verrà danneggiata? Con che conseguanze?
• Entreremo in uno stato di crisi per cui dovremo licenziare del personale?

Uno studio condotto sulle aziende britanniche colpite da Cryptolocker ha rivelato che 1 azienda su 5 ha dovuto chiudere i battenti a causa dell’infezione da ransomware.

“Se pago sono sicuro di decriptare i file?”

Anche se nessuno può garantire che pagando il riscatto vi verrà inviato il programma di decodifica, la mia esperienza diretta può invece confermarlo.

I ransomware vengono creati e diffusi per ottenere denaro e, brutto a dirsi, mantenere le promesse è essenziale per essere pagati.

Se si spargesse la voce che, anche a fronte del pagamento, non viene fornita la chiave di decifratura, in breve tempo le vittime smetterebbero di pagare ed il “giochino” si romperebbe.

In un’occasione, infatti, il Cliente aveva deciso dopo circa 1 mese di tentativi andati a vuoto di recuperare i file pagando il riscatto ma il server dei criminali non rispondeva più. In questo caso non è stato quindi neanche possibile pagare.

Il mio consiglio è perciò quello di decidere alla svelta quello che vuoi fare.

8. Formattare tutto

Sia che tu abbia deciso di NON pagare il riscatto, sia che abbia pagato ed abbia già decodificato i dati criptati è necessario formattare il PC od il server da cui è partita l’infezione, su cui infatti è molto probabile che siano stati installati anche altri malware che rimarrebbero all’interno della tua rete, pronti ad innescarsi quando meno te lo aspetti.

Se hai pagato ed hai liberato i tuoi file salvali su un supporto esterno (disco USB o disco di rete) in modo da poterli recuperare e riversare sul server (o sul PC) che avete appena formattato. A questo punto fai girare un programma antiransomware/antimalware che ti garantirà la “pulizia” del server.

Di solito le maggiori case di antivirus riescono a pubblicare il tool di rimozione poco dopo che il ransomware è stato scoperto. Per trovare il tool adatto usa il nome del ransomware che hai trovato in precedenza e cerca su Google “<nome del ransomware> remover” (per esempio per rimuovere il ransomware Locky scrivete “locky remover”).

Cose che sarebbe meglio NON fare

1. Staccare la spina al pc

Staccare brutalmente la spina ad un PC o ad un server ferma certamente il ransomware nella sua esecuzione ma rischia di danneggiare irrimediabilmente il PC od il server su cui esegui tale operazione.

L’assenza di corrente impedisce un corretto spegnimento del sistema che potrebbe quindi danneggiarsi a livello hardware (se si tratta di un server fisico) o potrebbe rendere inconsistenti eventuali database presenti sul sistema.

2. Far girare un AV od un antimalware prima di scegliere se si vuole pagare

Far girare un antivirus od un antimalware sul sistema infetto dovrebbe riuscire a rimuovere il ransomware ma non a decriptare i file. Aumenta invece la probabilità di “manomettere” i file criptati rendendoli non decriptabili nemmeno con la chiave di decodifica corretta.

È come se tu sparassi al rapitore dopo che ha già nascosto l’ostaggio: potresti non trovare mai più il luogo in cui è tenuto prigioniero!

Conclusioni

Quando si è stati colpiti da un ransomware bisogna muoversi con attenzione, tempestività e sangue freddo ed avere chiaro il protocollo da seguire.

In questo articolo ti ho fornito l’elenco dei passi da seguire dal momento in cui ti sei accorto di avere un computer infetto in azienda sino a quando potrai recuperare piena funzionalità sui tuoi sistemi.

Se stai leggendo questo articolo perché sei stato appena colpito da un ransomware, allora concentrati sui passi precedenti e torna qui a leggere non appena avrai ripristinato il tuo server (o il tuo PC).