Mio padre è tenuto in ostaggio

La vera paura di un utilizzatore esperto di computer è quella di sentire un membro della famiglia chiedere aiuto esclamando: “Non riesco più a usare il mio computer. Vedo solo strani messaggi e non si apre NIENTE!”

E in questa situazione si è appena trovato un dipendente Avira … e suo padre. Ecco la storia di cosa è stato e non è stato fatto e del perché l’FBI si può sbagliare di grosso.
“Come capita in molti casi, mio padre ha capito solo che non funzionava niente”, ha riferito Andrei Petrus, gestione prodotti presso Avira. “File, documenti e foto di una vita semplicemente non erano più raggiungibili e una serie di strani caratteri si erano aggiunti ai nomi dei file”.

attachment2
Quando finalmente Andrei si è trovato faccia a faccia con il problema, tutto quello che vedeva era un comune desktop PC con sistema operativo Windows Vista. Sorprendentemente sul computer era installato un programma antivirus aggiornato (anche se non Avira), ma tutte le protezioni erano state disattivate.

Visualizzazione della lettera di riscatto

La cattive notizie si sono palesate subito dopo il riavvio di Windows. L’annuncio pop-up faceva chiaramente intendere che il computer era stato infettato con una variante del ransomware “Cryptolocker” e che tutti i file erano stati crittografati con uno strano algoritmo AES e pertanto inutilizzabili. Gli strani caratteri aggiunti ai nomi dei file costituivano un’ID speciale che avrebbe aiutato i criminali informatici a identificare quale chiave avrebbe dovuto essere (probabilmente) inviata all’utente dopo il pagamento del riscatto per poter riavere i propri file.

Le opzioni per il recupero dei dati erano limitate. Gli strumenti pubblicamente disponibili per forzare la decrittografia non funzionavano per questa variante. “Tuttavia, nella speranza che uno strumento di decrittografia fosse disponibile un giorno, ho copiato i file in un drive di backup”, ha spiegato Andrei.

Non restava che ricominciare da capo: prendere il disco rigido, riformattarlo e quindi reinstallare Windows. Ma questa volta installando l’antivirus Avira per evitare che questa situazione potesse ripetersi.

Il riscatto dei dati: stare al gioco?

L’FBI raccomanda di pagare il riscatto. Avira no. Ecco perché:
“Così per gioco, ho deciso di contattare i criminali informatici e di stare al loro gioco per scoprire l’entità del riscatto e andare fino in fondo”. Ha spiegato. “E nel fare le veci di mio padre, che non è assolutamente un esperto informatico, ho formulato domande semplici semplici sul modo migliore per trasferire i bitcoin”.

mail-initial

“Non ho avuto risposta. Mi chiedo se questo sarebbe successo indipendentemente dal fatto che avessi acquistato o meno i bitcoin”, ha dichiarato. “Comunque, non avrebbero dovuto chiedermi come avrei pagato e guidarmi nel processo di pagamento perché si svolgesse correttamente, se avessi detto di averlo fatto e loro non avessero ricevuto il denaro?”

mail-replies

Pagare il riscatto per i file, per lo meno per questa variante di ransomware, potrebbe non essere la vera soluzione. “Credo che non aiutino le vittime a recuperare i file, sia che paghino o meno” ha dichiarato Andrei. “Penso anche che l’intero processo – infezione, comunicazione mail – sia automatizzato. Forse si stanno godendo un cocktail in Thailandia”.

Quattro punti da ricordare:

1. Usare Avira per evitare, in primo luogo, di essere infettati da questo tipo di ransomware. Se si utilizza un altro antivirus, assicurarsi che sia pienamente operativo.
2. Diffidare delle email, in modo particolare degli allegati a quelle email con oggetto accattivante / attraente. Anche nel caso in cui le email provengano da amici, è meglio chiedere di persona spiegazioni “perché mi hai inviato quella email?” piuttosto che aprire subito l’allegato.
3. Disporre di un solido piano di backup, preferibilmente con un servizio cloud, che offre il controllo delle versioni dei file e il ripristino. Usare un’unità HDD/SSD esterna per il backup locale non è sufficiente, dal momento che il virus è in grado di crittografare i file anche su questi dischi.
4. Non contare sul salvataggio o sull’esito positivo del pagamento del riscatto per i dati crittografati.

Questo articolo è disponibile anche in: IngleseFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.