VIRUS DECRYPTER/CRYPTOLOCKER

DecripterQuesta settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.
Questo è quello che in gergo si chiama ransomware. Ne ho già parlato in passato, ma visto che l’epidemia prosegue e ci sono delle novità tecniche è il caso di scrivere una spiegazione dettagliata.
Cosa posso fare?

Per prima cosa, spegnete subito il computer sul quale è comparso l’avviso e spegnete tutti gli altri computer presenti sulla stessa rete informatica. Non perdete tempo. Il computer sul quale c’è l’avviso va spento brutalmente, staccando la spina o azionando il suo interruttore principale, senza perdere tempo a chiudere ordinatamente: quel computer sta probabilmente tentando di infettare gli altri computer della rete. Se non volete moltiplicare il problema, isolatelo più in fretta che potete.
Se avete una copia di sicurezza dei dati su un disco rigido collegato in rete, scollegatela immediatamente dalla rete staccando il cavo o spegnendo il Wi-Fi. Molti ransomware esplorano la rete locale e tentano di infettare e cifrare tutti i dispositivi che trovano, specialmente quelli di backup, in modo che non possiate ripristinare i vostri dati e sventare il ricatto.

Non riaccendete nulla fino a quando avete staccato il cavo di collegamento alla rete locale o spento il Wi-Fi per mantenere l’isolamento, e comunque riaccendete soltanto quando è sul posto uno specialista informatico che vi dirà se, come e quando riaccendere. Non cancellate nulla dai computer colpiti.

Posso rimediare io? Mi serve davvero un tecnico?

Mi spiace: se non siete più che esperti e più che previdenti, non potete rimediare da soli (e se siete stati infettati da un ransomware, probabilmente è perché non siete sufficientemente esperti e non siete stati abbastanza previdenti). Tenete presente che questi ransomware sono scritti da professionisti del crimine: sanno quello che fanno ed è difficile batterli.

Non perdete tempo e non cercate di risparmiare soldi con il fai da te: rischiate di perdere per sempre tutti i vostri dati. Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto. Chiamate uno specialista. Alcuni di questi ransomware hanno dei difetti che consentono il recupero dei dati: un bravo specialista sa come intervenire.
Se avete una copia di sicurezza di tutti i vostri dati essenziali, potete formattare i computer colpiti, reinstallare il sistema operativo e ripristinare i dati da questa copia. Se non l’avete, ora sapete perché gli esperti raccomandano sempre di averne almeno una.
Se siete dipendenti e vi accorgete del ransomware sul posto di lavoro, chiamate subito l’assistenza informatica e non vi preoccupate che qualcuno vi possa dare la colpa dell’infezione: se cercate di nascondere il problema non farete altro che peggiorarlo e probabilmente alla fine scopriranno il vostro tentativo d’insabbiamento, aggravando la vostra posizione. Ai datori di lavoro conviene annunciare subito che non ci saranno sanzioni, in modo da avere la massima collaborazione dei dipendenti.

Mi conviene pagare?.

Mi dispiace dirlo, ma probabilmente sì; se non avete una copia dei vostri dati, vi conviene pagare il riscatto e imparare la lezione. Valutate quanto valgono i dati che sono stati cifrati e quanto vi costerebbe ricrearli (ammesso che sia possibile) o non averli più. Consolatevi: l’amministrazione pubblica del Lincolnshire, nel Regno Unito, è stata paralizzata pochi giorni fa da un ransomware che chiede un milione di sterline (1,3 milioni di euro) di riscatto.

Se pagate, non è detto che otterrete la password di sblocco dei vostri dati: dopotutto state trattando con dei criminali. Ma di solito ai criminali che vivono di ransomware conviene che si sappia che le vittime che pagano il riscatto ricevono la password di sblocco: se si diffondesse la voce che pagare è inutile nessuno pagherebbe più.
Conviene inoltre decidere rapidamente se pagare o no, perché molti ransomware aumentano l’importo del riscatto se si lascia passare troppo tempo. Di solito non c’è modo di trattare con i criminali che gestiscono il ransomware perché non c’è un indirizzo da contattare e comunque si tratta di bande che lavorano all’ingrosso, per cui voi siete probabilmente solo una delle loro tante vittime e loro non hanno tempo da perdere in trattative: prendere o lasciare.
Che prevenzione posso fare?

La miglior forma di prevenzione è fare spesso una copia di scorta di tutti i dati essenziali e tenerla fisicamente isolata da Internet e dalla rete locale quando non è in uso. Evitate le soluzioni di backup permanentemente connesse alla rete locale: verrebbero infettate e rese inservibili.

Tenere aggiornato il computer è fondamentale. La maggior parte dei ransomware si insedia sfruttando difetti delle versioni non aggiornate di Flash (come descritto qui), di Java, del browser o di Windows. Se possibile, comunque, Flash va rimosso o disabilitato, perché si è rivelato un colabrodo nonostante i continui aggiornamenti correttivi.
Usare un antivirus aggiornato è meglio di niente ma non garantisce l’invulnerabilità: l’antivirus bloccherà i ransomware meno recenti ma non riconoscerà quelli appena usciti.

Adottare un firewall efficace è molto utile, specialmente se consente di filtrare i tipi di file in arrivo, bloccando per esempio i file ZIP o PDF o JAR.

Usare Mac OS o Linux invece di Windows riduce il rischio, perché la maggior parte dei ransomware è scritta per Windows, ma non vuol dire che un utente Apple o Linux possa considerarsi immune: sono in circolazione ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java.

È importante diffidare degli allegati ai messaggi. Anche se il mittente è qualcuno che conosciamo, se l’allegato è inatteso o se il testo del messaggio non è nello stile solito del mittente è meglio non aprire gli allegati, neanche se si tratta di documenti PDF o di file ZIP. Spesso i ransomware scavalcano le difese rubando le rubriche di indirizzi di mail, per cui le vittime ricevono mail infette provenienti da indirizzi di utenti che conoscono e di cui si fidano. Prima di aprire qualunque allegato, di qualunque provenienza, è meglio fermarsi a pensare: c’è qualcosa di sospetto? Mi aspettavo questo allegato? Posso chiamare il mittente al telefono e chiedergli se mi ha davvero mandato un allegato?
Visitare solo siti sicuri e attinenti al lavoro è una buona cautela, ma non significa che ci si possa fidare ciecamente. Evitare i siti discutibili, per esempio quelli pornografici o che ospitano app piratate o film e telefilm, riduce molto il rischio ed è saggio anche a prescindere dal ransomware, ma molti siti rispettabilissimi possono ospitare e diffondere questo tipo di attacco. In questi giorni, per esempio, è stato segnalato un numero molto elevato di siti normali, basati su WordPress, che ospitano inconsapevolmente delle varianti di ransomware.

A parte questi rimedi tecnici, è indispensabile che ci sia un comportamento sensato e prudente da parte di tutti gli utenti. Aprire allegati ricevuti inaspettatamente, visitare siti di gioco o di film o pornografici dal computer di lavoro, non stare aggiornati sono tutte abitudini diffuse che vanno abbandonate, in modo da creare terra bruciata intorno ai criminali. Soprattutto non bisogna cadere nell’errore di pensare che tanto a noi non capita: infatti il ransomware viene disseminato a caso e quindi può colpire chiunque, dal privato all’azienda all’ente pubblico. E come tutti i guai, anche il ransomware è sempre il problema di qualcun altro fino al momento in cui colpisce noi.