Recupero dei file da Cryptolocker, davvero impossibile? Immaginate di essere al lavoro o casa vostra, una giornata come tante, davanti al computer come tutti i giorni. Improvvisamente lo schermo cambia e compare un messaggio di questo tipo:
oppure questo.
Purtroppo e già lo avrete capito, significa che siete stati colpiti da un ransomware, la più nota variante del quale è il famosissimo Cryptolocker. Questo significa che tutti i vostri file personali (documenti, fogli excel, immagini e video) sono stati criptati e diventano dunque sostanzialmente inaccessibili. La richiesta dei cybercriminali, che sono riusciti a colpire probabilmente sfruttando la nostra innata curiosità (apertura di un file all’apparenza innocuo, click su un link), è quella di un riscatto, generalmente da pagare in Bitcoin, per riavere indietro i vostri file decrittati. La prima domanda a questo punto è: pagare o non pagare? La risposta che si può dare è che – nella maggioranza dei casi – quando si paga i file vengono effettivamente restituiti integri dai cybercriminali. Non tanto per improbabili ragioni d’onore, quanto piuttosto per salvaguardare il proprio business nel lungo termine. Se infatti si diffondesse la voce che i pagamenti per i cryptolocker sono inutili, nel giro di poco tempo nessuno pagherebbe più il riscatto. D’altra parte però, non esiste nessuna garanzia che il singolo cybercriminale segua un ragionamento così lineare e che, dunque, alla fine decritti effettivamente i file.
Il consiglio più giusto da un punto di vista “sociale” è però sempre quello di non pagare il riscatto richiesto: inviando il vostro denaro ai criminali informatici, non farete altro che confermare che il ransomware funziona. Dunque incoraggerete la preparazione di ulteriore ransomware ai danni di parenti, amici e colleghi e, magari, in futuro nuovamente voi stessi. Ammettiamo dunque che abbiate deciso per l’opzione più limpida. Cosa si può fare per il recupero dei file criptati da Cryptolocker? Purtroppo in molti casi, una volta che il ransomware ha infettato il computer o il vostro dispositivo, c’è poco da fare salvo che non abbiate eseguito un backup o installato idonee misure di sicurezza.
Indice degli argomenti
Come funziona il ransomware?
Ma il ransomware cos’è e come funziona? Come la maggior parte del malware, anche il ransomware può provenire dall’apertura di un allegato malevolo in un’email, da un clic su un pop-up ingannevole o semplicemente dalla visita di un sito web compromesso. Mette a rischio le aziende in una delle seguenti modalità: bloccando lo schermo di un utente o crittografando i file.
Il ransomware lock-screen, come suggerisce il nome, provoca il ‘congelamento’ del PC visualizzando un messaggio con la richiesta di riscatto del criminale, rendendo il computer inutilizzabile fino a quando il malware viene rimosso. Se questo è un fastidio per gli utenti, è una cosa superabile perché riguarda generalmente un singolo PC, ed è di solito relativamente facile da rimuovere.
La crittografia ransomware, invece, sta rapidamente emergendo come una vera minaccia per le aziende a causa della sua capacità di bloccare permanentemente gli utenti dai propri file e dati, non solo sui singoli PC ma sull’intera rete aziendale. Utilizzando la crittografia per scombinare i dati fino al pagamento di un riscatto, questo tipo di attacco ransomware ha registrato nel terzo trimestre del 2013 un aumento del 200%, rispetto al primo semestre dell’anno. Inoltre, gli attacchi si sono concentrati su aziende di piccole e medie dimensioni, utilizzando CryptoLocker, uno dei ceppi di ransomware più distruttivi e dannosi mai visto.
Le regole da seguire per evitare i cryptolocker
Regole che sono abbastanza note ma che ricordare per l’ennesima volta non fa di certo male:
1. Assicurarsi che il vostro software di endpoint security sia aggiornato e funzionante.
2. Assicurarsi che il vostro computer sia aggiornato e che tutte le patch siano applicate. Non solo il sistema operativo, ma anche il browser e le applicazioni di terze parti, Java compreso.
3. Molti codici maligni vengono distribuiti attraverso link all’interno di email o di messaggi dei social media, ragion per cui non cliccate su link sospetti o su allegati presenti nelle email, anche se utilizzate un email filtering.
4. Usate il web filtering per prevenire la vostra navigazione su siti infettati da codici maligni – l’80% dei siti infetti sono siti legittimi che sono stati compromessi.
5. Eseguite backup regolari dei vostri file importanti e, se potete, salvateli offline, dove non potranno essere individuati in caso di attacco ai vostri file attivi.
6. Proteggetevi sia in rete, sia nell’endpoint. Cryptolocker richiede una connessione di rete e la Network security può intercettare il tentativo di accesso al server di comando e controllo e bloccarlo. Il malware sarà ancora nel vostro sistema, ma non potrà abilitare il pericoloso payload che cripta le vostre informazioni
Cryptolocker e recupero file: come e quando è possibile
Nel caso in cui, sfortunatamente, non abbiate messo in atto questo tipo di protezioni, non dovete del tutto disperare. Esistono infatti ancora delle possibilità di effettuare il recupero dei file e documenti da Cryptolocker senza cedere all’odioso ricatto dei cybercriminali. Innanzitutto ci sono degli strumenti disponibili, come Crypto Sheriff è – sviluppato appositamente dall’iniziativa no more ransom – che aiutano a definire il tipo di ransomware che ha infettato il vostro dispositivo. Esistono infatti centinaia di famiglie diverse di ransomware in giro per il mondo e migliaia di varianti. In particolare questo è possibile nei casi in cui:
1) Gli autori del malware hanno fatto un errore d’implementazione ed è possibile forzare la codifica. È il caso, per esempio, dei ransomware Petya e CryptXXX.
2) Gli autori del malware si pentono delle loro azioni e pubblicano le chiavi oppure rilasciano una master key, come nel caso di TeslaCrypt.
3) Le forze dell’ordine sequestrano un server sul quale sono contenute le chiavi e le condividono. Un esempio è il caso di CoinVault.
Grazie a queste casistiche esistono dunque degli strumenti di decrittazione che permettono di recuperare le vecchie copie dei tuoi dati. Qui si trova un elenco abbastanza esaustivo elaborato dall’iniziativa No more ransom, suddiviso per le diverse famiglie di ransomware.
Le strade alternative per fregare il ransomware
Nel caso il nostro ransomware non facciano parte di queste famiglie esistono poi delle strade alternative, tra cui la più comune è l’utilizzo di Shadow Explorer che, in buona sostanza, permette di recuperare i backup automatici di Windows, se il virus non li ha cancellati. Come spiega il distributore di soluzioni di sicurezza Achab, infatti, alcuni cryptovirus sono così furbi e cattivi che cancellano anche queste copie di riserva, altri invece non le toccano. Se la vittima è stata particolarmente fortunata, le copie di riserva potrebbero non essere state toccate. Una volta in esecuzione, viene mostrata una finestra che permette di scegliere quale “fotografia” del sistema si desidera visualizzare. Si possono quindi esplorare tutte le cartelle e una volta individuato il file che interessa basta fare clic con il tasto destro del mouse e scegliere Export per recuperare la versione desiderata.
Una vera e propria ultima spiaggia è PhotoRec, un software cross platform in grado di andare a cercare i file attraverso le tracce nascosta nei meandri del proprio dispositivo.
Naturalmente la rete è ricca di siti che promettono di riuscire a decrittare i dati infettati dai cryptolocker, con servizi più o meno a pagamento.
In ogni caso, considerando che malware e cryptolocker non sono altro che tipi di malware contenenti codici maligno, vanno sempre comunque rimossi dal proprio pc. Per fortuna la rete pullula di strumenti, spesso offerti gratuitamente dai principali vendor del settore, che permettono in pochi passi una rimozione efficace. Insomma, qualcosa si può fare, ma l’unica vera arma efficace per contrastare ransomware e cryptolocker resta la prevenzione.
Come e quando utilizzare i Bitcoin
In alcuni limitati casi, per ragioni di forza maggiore, le aziende possono però trovarsi a cedere all’odioso riscatto del cybercrime, ad esempio perchè si ha la necessità di tornare in tempi stretti dei propri documenti. E’ importante sapere che la vittima è sempre da ritenersi parte offesa, anche quando accetta di pagare il riscatto. Non si possono fare infatti parallelismi giuridici con altre fattispecie come l’estorsione o il sequestro di persona. Gli stessi fornitori IT che dovessero consigliare di pagare il riscatto al proprio cliente non commettono certo reato di favoreggiamento, che implica una partecipazione fattiva al reato stesso. Se proprio quindi si decide di pagare, occorre armarsi di pazienza e, soprattutto, di Bitcoin, la criptovaluta utilizzata dai cybercriminali di tutto il mondo. Perchè? La risposta di Anna Italiano, Legal consultant di Partner4innovations è semplice: la criptovaluta, operando al di fuori dei classici circuiti bancari, riesce più facilmente a sfuggire ai controlli delle autorità. Ed è dunque diventata, anche per la sua elevata affidabilità, il mezzo preferito dai cybercriminali di tutto il mondo. Attenzione, però, stiamo parlando di una valuta che, per quanto virtuale, è perfettamente legale, tanto da essere persino accettata dall’Agenzia delle entrate per la compravendita degli immobili . Dunque evidenzia Italiano, gli intermediari presenti sul web che convertono le monete reale in virtuali non sono certo responsabili di un eventuale utilizzo non ortodosso, come nel caso di mezzo per il pagamento del riscatto del ransomware.
Perchè i cryptolocker colpiscono ancora
Ma perchè, nonostante tutti gli allarmi lanciati dai media e dai principali vendor di sicurezza, molte persone continuano a cadere nella trappola tesa dai cybercriminali. Secondo quanto racconta a Digital4Trade Matteo Flora, ethical hacker e Ceo di The Fool, ci sono tre ragioni principali:
1) Il cryptolocker sfrutta la curiosità innata delle persone, che sono naturalmente portate a cliccare su qualunque cosa.
2) Il ransomware fa leva sulla bassa conoscenza informatica di una larga fetta dei lavoratori che hanno la necessità di interfacciarsi quotidianamente con l’Ict, poiché la digitalizzazione ha sostanzialmente imposto l’addio alla carta, ma che non possiedono le competenze necessarie per comprendere quando vengono frodati.
3) Gli investimenti nel comparto sicurezza sono al minimo sindacale. La protezione informatica non è vista come necessaria alla business continuity se non in alcune aree molto specifiche. Il risultato è che le aziende che in in passato non si erano dotate di un sistema difensivo di base perlopiù continuano a non averlo neppure oggi, come ad esempio gli studi professionali, che da questo punto di vista si sono dimostrati fortemente vulnerabili.
