Skip to Main Content

Stile CryptoLocker, crittografia di file. È giusto pagare il riscatto?

Dunque, ricevete un’email che vi invita a leggere un importante documento in allegato, vi precipitate a cliccarci sopra e all’improvviso i vostri file iniziano a scomparire, diventano illeggibili o assumono strane estensioni, come “exx”. Alla fine compare una simpatica finestra che vi informa che i vostri file sono stati crittografati e l’unica possibilità per decrittografarli è usare una chiave privata contenuta nel “server segreto” dell’hacker. Siete quindi invitati ad aprire un link o in altri casi ad installare il TorBrowser e accedere al sito DeepWeb. In entrambi casi siete reindirizzati su una pagina Web che vi chiede il pagamento del riscatto, come nell’esempio seguente

cryptolocker_01
Typical Ransom Page

Il punto è: è giusto o no pagare il riscatto?

Sfortunatamente non possiamo prendere questa decisione al posto vostro, ma ecco i motivi per cui vi consigliamo di non farlo:

1. Capire con chi avete a che fare
Questo non è un “incidente” capitato per caso e non state comprando un “servizio di decrittografia”.

Stiamo parlando di cyber-criminali che hanno appositamente creato software in grado di “sottrarre” i vostri file e ora chiedono dei soldi per restituirveli.

Questi individui sono fatti della stessa pasta dei rapinatori che fuggono con la vostra borsetta o rapiscono i vostri animali domestici e chiedono un riscatto ed è importante che lo capiate bene prima di prendere la vostra decisione.

2. Comprendere i rischi
Normalmente il Ransomware è progettato per inviare la chiave per la decrittografia ai responsabili dell’attacco, ma ci sono diverse cose che possono andare storte nel processo, con una conseguente possibile perdita della chiave.

Per esempio, la maggioranza dei Ransomware si connettono a domini regolari per caricare la chiave di decrittografia, ma molti domini coinvolti in attività malware vengono bloccati o sospesi ogni giorno. Se un particolare dominio viene sospeso, la chiave di decrittografia non viene inviata all’autore dell’attacco, ma viene semplicemente cancellata dal sistema.

Se ciò accade e voi (inconsapevoli) pagate il riscatto, finirete con i vostri file crittografati per sempre e con 500$ in meno nel portafoglio. Se pensate di poter ricevere un rimborso tornate al Capitolo 1 – capire con chi avete a che fare e rileggetelo.

cryptolocker_02
Esempio di codice malware che carica le chiavi su un dominio regolare

Un’altra possibilità è essere infettati da un trojan di 6 mesi il cui creatore è già stato arrestato. Non c’è modo di saperlo e per inviare bitcoin al suo indirizzo non è richiesta nessuna conferma. Anche le transazioni di bitcoin, come le normali transazioni bancarie, non possono essere invertite. In tal caso state inviando soldi a una persona che non è in grado di ripristinare i vostri file perché si trova in prigione e ancora una volta potreste finire con i vostri file crittografati e 500$ in meno nel portafoglio.

3. Pensare alle altre vittime
Avete dunque capito che gli autori dell’attacco creano questo tipo di malware per ricavarne denaro. Per cui, più sono le persone che pagano il riscatto, più questi criminali sono incoraggiati a continuare e maggiore è alla fine il numero di vittime. Se lasciate perdere i vostri file crittografati rifiutandovi di pagare il riscatto, state di fatto aiutando altre persone. Se nessuno pagasse il riscatto gli hacker non avrebbero motivo di continuare a creare ransomware. Ci sembra un’ottima forma di boicottaggio.

4. Pensare alla vendetta
“Ci deve essere qualcosa che posso fare, no? Per esempio andare alla Polizia o forse l’FBI ha un sito Web, oppure …”
Crediamo che il modo migliore e più sicuro per vendicarvi di chi vi ha fatto questo è non pagare il riscatto. Ciò colpirà il suo punto debole. E se volete fargli ancora più male, potreste diffondere questo articolo, magari sul vostro blog personale o su Facebook.

Cosa fare dopo

Ok, quindi o avete deciso di pagare e vi sono stati restituiti i vostri file (o no?) oppure avete preso la difficile decisione di non pagare il riscatto.
In entrambi casi, ci sono ancora alcune cose da sapere:

1. Il vostro computer potrebbe ancora essere infetto
Alcuni trojan stile CryptoLocker si autocancellano dopo la scadenza di pagamento o dopo lo sblocco dei file, ma altri non lo fanno. Quindi, nel giro di poche settimane, dopo che avete ripreso la vostra normale vita digitale, potreste scoprire che i vostri file sono stati nuovamente crittografati, con la conseguente richiesta del pagamento di un altro riscatto!!!

Vi consigliamo di avviare il computer in modalità provvisoria ed eseguire una scansione completa del sistema per essere sicuri.

2. Ci sono ancora altri modi per proteggersi
Diciamo che avete installato un ottimo antivirus che è in grado di rilevare e bloccare il 100% delle minacce. Ci sono altri modi in cui potreste essere infettati, ad esempio:

  • Per un periodo il vostro laptop non ha avuto accesso a Internet, quindi l’antivirus non ha potuto ricevere le ultime definizioni virus e voi ricevete una chiave USB infetta con uno dei nuovissimi virus
  • Il disco rigido può trovare un settore danneggiato in uno dei file antivirus, con la conseguenza che si arresterà in modo anomalo
  • Il file system può danneggiarsi dopo un’interruzione di corrente, impedendo il caricamento della protezione antivirus in tempo reale
  • Alcuni programmi di installazione di software disattivano o chiedono all’utente di disattivare l’antivirus durante l’installazione
  • Nel breve tempo di aggiornamento dell’antivirus a una nuova versione, il sistema è vulnerabile

Questi casi sono rari, ma per avere la migliore protezione dovreste:

  • eseguire backup regolari dei vostri file

Ciò è molto semplice, basta procurarsi un disco rigido USB esterno e copiare regolarmente i file importanti su di esso. Ricordatevi di scollegarlo dal computer appena terminato il backup, poiché alcuni ransomware crittografano i file anche da dischi rigidi esterni se sono collegati. Se il computer si infetta ma avete un backup dei vostri file, è sufficiente reinstallare il sistema operativo e
ripristinare i file nel loro percorso originario.

  • assicuratevi sempre che il vostro programma antivirus sia in funzione

Siamo convinti che lasciare il computer senza un antivirus è come lasciare la porta di casa spalancata. La maggior parte dei programmi antivirus hanno metodi di rilevamento generici detti “euristici” che possono aiutare a fermare i ransomware prima che infettino il sistema e noi di Avira prestiamo un’attenzione particolare a questo tipo di malware e blocchiamo tempestivamente i file e i link da cui vengono scaricati.

In ogni caso, installare un antivirus non è sufficiente, bisogna anche accertarsi che funzioni, controllando che sia presente l’icona dell’antivirus sulla barra delle applicazioni e cliccandoci sopra per verificarne lo stato. Se per un qualsiasi motivo doveste accorgervi che l’antivirus è disattivato, cercate di attivarlo e se ciò non funziona, reinstallatelo.

Potete aiutare gli altri
Ora che avete letto questo articolo siete dei veri Samurai digitali e potete aiutare i vostri amici a proteggersi seguendo i semplici passaggi descritti sopra.

Un altro ottimo modo di aiutare gli altri è condividere questo articolo, così da diffondere la consapevolezza di queste minacce ed insegnare a proteggere i propri file, quindi unitevi a noi nella battaglia contro malware e virus!