RANSOMWARE - Dopo l'attacco

Che strade ci troviamo di fronte a seguito di un attacco?

Trovarsi davanti ad un desktop con tutte le icone bianche come se non fossero associate a nessun programma, avendo sullo sfondo, al posto della solita foto famigliare o di qualche esotica località, una scritta che ci avvisa che i nostri dati sono stati criptati, è una brutta esperienza ma condivisa da molti utenti negli ultimi periodi. Il Pc è stato infettato da un ransomware e ora cominciano i problemi.
Lo smarrimento ci porterà a chiamare immediatamente il fornitore che effettua assistenza hardware/software alla nostra impresa ma difficilmente questo potrà venirci in aiuto con soluzioni rapide ed indolore.

Dall’inizio del 2016, sono tante le varianti di questi virus che si sono alternate sui pc di milioni di utenti in tutto il mondo, ognuna con una sofisticazione e una capacità di fuoco diversa.
In alcuni casi, i peggiori, è necessario reinstallare completamente il terminale perché la criptazione dei dati non si è limitata ai soli file di testo o di fogli di calcolo ma ha intaccato anche gli eseguibili dei programmi.
Altre varianti, invece, più deboli e meno aggressive, pur criptando i nostri documenti, permettono il loro recupero dalle copie shadow di windows, attive nella stragrande maggioranza dei Pc con un sistema operativo recente.
Se questi due poli rappresentano gli opposti del problema, la zona grigia che ci sta in mezzo è quella che incarna lo scenario più comune e diffuso, ovvero un Pc perfettamente funzionante ma senza più un file personale integro.
Spesso, inoltre, gli effetti del contagio non si manifestano solamente sulla macchina infettata ma anche su cartelle condivise in Server, NAS o altri computer visto che alcuni ransomware effettuano anche una scansione della rete aziendale per causare il maggior danno possibile.

Trovandosi davanti una scena del delitto così raccapricciante, la prima cosa da verificare è la presenza di un backup dei dati importanti (e quali non lo sono?), della sua attualità e della sua integrità. Capita molto spesso, infatti, che nelle aziende infettate ci sia una strategia di backup ma non efficiente, quindi ci si potrebbe trovare di fronte a dati ormai obsoleti vecchi di alcuni giorni, se non settimane o mesi, oppure che i dati salvati siano stati anch’essi criptati perché archiviati su un disco USB connesso al pc del quale si effettua il backup oppure disponibili in rete dentro a qualche condivisione.

In una situazione del genere, una delle peggiori ma purtroppo anche molto comune, la via da seguire ci permette solamente due strade: rassegnarci per la perdita dei nostri dati, oppure inoltrarci nel sentiero sterrato e melmoso che ci porterà al pagamento del riscatto.
Nonostante sia una procedura non troppo agevole, al limite della legalità, sconsigliata dalle autorità competenti e senza nessuna garanzia di successo, per molti malcapitati utenti questa è l’unica possibilità per poter ritornare in possesso del proprio patrimonio informatico, soprattutto quando il prezzo da pagare come riscatto è notevolmente più basso del costo derivante dalla perdita di archivi di dati immagazzinati in anni di lavoro. Quella che segue non deve essere considerata una guida su come pagare un riscatto ma solamente una descrizione più accurata possibile di quello che aspetta chi vorrà intraprendere questa via.

Il prezzo del riscatto è solitamente quantificato in Bitcoin, una cryptovaluta peer-to-peer non soggetta a tracciabilità delle transazioni economiche, quindi lo strumento adatto per i malintenzionati che cercano di ottenere un facile ricavo con la divulgazione di ransomware. Per effettuare il pagamento, quindi, occorrerà avere un portafoglio Bitcoin e trovare un broker online per scambiare i nostri euro in valuta virtuale. Ogni infezione da ransomware, oltre a una landa desolata di dati inutilizzati, lascia dietro di sé anche delle istruzioni abbastanza dettagliate per districarsi nel pagamento. Oltre ad un sito dal quale si avrà la possibilità di vedere il tempo residuo per poter effettuare il pagamento e un tool per decriptare un file di prova, si troveranno alcuni link per creare il proprio portafoglio Bitcoin gratuito e i cambiavalute più in voga nella nazione in cui il pc infetto si trova. I siti atti al cambio e all’uso di Bitcoin sono molteplici, quasi tutti di comprovata validità e legalità e ognuno di questi richiederà una lunga e complessa procedura di registrazione dei propri dati, compreso l’invio in formato digitale di documenti di identità e, per cifre cospicue solitamente sopra i 500€, anche di bollette, contratti bancari o dichiarazione delle tasse.
Il problema principale durante il pagamento del riscatto sta nel fattore tempo, solitamente, infatti, gli ideatori del ransomware mettono a disposizione soltanto un paio di giorni per effettuare il pagamento, passati i quali il costo del riscatto si duplicherà. Alcuni intermediari, inoltre, pongono dei limiti di scambio euro/bitcoin settimanali, altri non consentono di acquistare la cifra esatta dell’importo del riscatto avvisando che la transazione può sembrare legata a qualche ransomware e non viene accettata. In alcuni casi è consigliabile fare due acquisti di bitcoin da siti differenti e convogliarli su un unico portafoglio bitcoin, in modo da poter passare al pagamento del riscatto vero e proprio. Una volta in possesso della cryptovaluta necessaria, si potrà eseguire la transazione tra il proprio conto bitcoin e quello dei sequestratori, indicato sempre nella pagina personalizzata alla quale ogni vittima può accedere tramite i link lasciato nei pc infetti.
Effettuato il pagamento, nel giro di poche ore, a volte anche poche decine di minuti, sulla pagina web delle informazioni si troverà un link dove scaricare un eseguibile da far girare sui pc infettati per la decriptazione dei dati. Il software, sembra superfluo dirlo, funzionerà solo sul pc infetto perché contiene esclusivamente la chiave per quel singolo evento virale, quindi inutile utilizzare software di altri che hanno in passato già avuto la stessa esperienza. In base al numero di file, alla loro dimensione e alla velocità dell’hardware, la procedura può durare pochi minuti come parecchie ore.
Finita la decriptazione i dati torneranno integri e funzionanti e in alcune varianti i file infetti non saranno cancellati, quindi prima di lanciare il software è sempre consigliabile controllare lo spazio disponibile sul disco.

Il percorso per ritornare in possesso dei propri dati dopo un evento virale di un ransomware è dunque non solo ricco di ostacoli e difficoltà ma anche non legale e non sicuro. Si deve aver fiducia di qualcuno che vi ha già imbrogliato e l’unica speranza è quella di trovare farabutti onesti che oltre al danno dell’infezione non aggiungano la beffa del pagamento senza niente in cambio. Per questo è sempre meglio affidarsi ad una sana e robusta prevenzione che, seppur bisognosa di investimenti iniziali anche importanti, alla fine potrà risolvere potenziali problemi futuri sia legati alla sicurezza informatica che nel campo del malfunzionamento degli elaboratori.