I virus informatici “ransomware”, detti anche cryptovirus, sono la vera piaga degli ultimi anni. Come dice la parola, un virus ransomware agisce criptando i file più comuni (documenti di word, excel, PDF, immagini, video e molto altro) e richiedendo un riscatto per la loro decriptazione.
Ricordo ancora il giorno in cui ho fatto il mio primo incontro con un cryptovirus. Mi chiamò un amico dicendomi che nell’azienda della sorella era successa una cosa strana: tutti i file avevano cambiato icona e non riusciva ad aprirli. Inizialmente pensai che si trattava semplicemente del sistema di Windows che associa l’estensione dei file alla relativa applicazione andato in crash. Ma non riuscendo a risolvere in questo modo decisi di andare direttamente in azienda per capire meglio.
Si sta parlando di uno dei primi ransomware della storia, quindi c’era ancora pochissima letteratura ed informazione in merito. In azienda mi resi conto di due cose:
-
Tutti i file avevano la stessa estensione, senza distinzione tra documenti di word, excel, pdf etc...
-
Nel desktop ed in ogni cartella contenente file trovai un documento di testo all’interno del quale erano scritte delle chiare istruzioni per il pagamento, in comodissima valuta Bitcoin (che tutti avevano all’epoca, no?), di un riscatto da alcune migliaia di Euro per riavere indietro i file.
Capii subito che mi trovavo in una situazione complessa. Banali tentativi di modifica dell’estensione del file non sortirono alcun effetto: ogni singolo file era stato criptato. A questo punto presi la decisione di spegnere immediatamente il pc per due motivi:
-
Anche se tardi, per evitare l’ulteriore propagazione del virus in rete.
-
Per smettere di utilizzare l’hard disk, sperando che la traccia del file originale (non criptato) fosse ancora presente.
La prima domanda che feci al mio “nuovo” cliente fu: “hai i backup di tutto”? La risposta “no” era abbastanza ovvia: fosse stato cliente mio non avrei nemmeno dovuto chiederlo.
Mi ritrovavo quindi tra le mani un pc senza copie di sicurezza, con tutti i file criptati e, cercando online, pochissime soluzioni al problema se non quella di pagare il riscatto.
Decisi quindi di tentare con la strada del recupero a basso livello, speranzoso che il processo di “infezione” del virus avesse creato nuovi file deindicizzando quelli originali. Dovete sapere che, quando cancellate un file dal vostro pc, mettendolo prima nel cestino e poi svuotandolo, in realtà il file non viene eliminato, viene solo “deindicizzato”, cioè non è più visibile ma ancora recuperabile fino a che Windows non andrà a scrivere nuovi dati nella porzione di disco in cui si trovava. In questo scenario, più si utilizza il pc dopo la cancellazione di un file e più è probabile che lo stesso venga, prima o poi, sovrascritto.
Aver spento il pc senza fare ulteriori tentativi mi consentì di giocare questa carta. Smontai l’hard disk dal pc e, tramite un lettore di dischi esterno, lo collegai ad un pc muletto (sacrificabile, avevo paura che l’infezione da ransomware si potesse propagare al mio pc) dove feci girare una versione “live” di Hiren’s Boot CD (un ottimo tool per risolvere problemi di questo tipo). Utilizzando alcuni programmi per il recupero dati come Recuva, Disk Digger e altri, analizzai il contenuto del disco alla ricerca dei file originali.
Il risultato fu che riuscii a recuperare all’incirca il 50% dei files. Non ero per nulla soddisfatto. Mi stavo rendendo conto che l’attività del virus era a suo modo stupida ma, purtroppo, sufficientemente dannosa. In pratica, il virus passava in rassegna ogni file, lo cancellava (deindicizzandolo) e ne creava una copia criptata: andando avanti in questo modo però, le copie criptate dei file successivi andavano di tanto in tanto ad occupare lo spazio lasciato libero da file deindicizzati in precedenza, rendendo parzialmente vano il mio tentativo di recupero a basso livello.
Non trovando appigli nella documentazione online decisi di recarmi, assieme al mio “nuovo” cliente (disperato), presso il comando di Polizia Postale. Raccontai l’accaduto e descrissi il tentativo di recupero messo in atto, nonché la (scarsa) percentuale di file che ero riuscito a riportare in vita.
Gli agenti si dimostrarono abbastanza stupefatti e mi chiesero con quali software ero riuscito a recuperare una percentuale così alta di file. Al che capii subito che non c’era “trippa per gatti” (come si dice dalle mie parti): anche la Polizia Postale era nelle mie stesse condizioni, non avevano una soluzione per il recupero dei dati.
L’unica soluzione sembrava essere, quindi, il pagamento del riscatto che ammontava all’incirca a 10 mila Euro.
Il cliente, dopo aver valutato la situazione, decise di non pagare e di ricostruire piano piano il materiale attingendo un po’ dall’archivio di posta inviata ed un po’ richiedendo ai fornitori i contenuti persi. Un’attività che ha portato via molto tempo (e di conseguenza denaro) e che non gli ha consentito di recuperare tutto il database di informazioni. Inoltre, è ovviamente stato costretto a reinstallare su un nuovo hard disk il sistema operativo, ripartendo da zero nella configurazione dei pc.
Cosa abbiamo imparato da questa storia?
-
Che nessuno è al sicuro. Anche con un antivirus aggiornato è possibile prendere un ransomware. Un collega mi ha raccontato che in un’azienda il virus era nascosto all’interno di un allegato ad una mail. La mail sembrava essere proveniente da un operatore telefonico (identico a quello presente in azienda) e conteneva in allegato una fattura (ma in realtà era altro). Con la tranquillità che il messaggio fosse attendibile il dipendente andò ad aprire l’allegato che venne prontamente bloccato dall’antivirus. Purtroppo, convinto che il messaggio fosse reale ed attendibile, il dipendente ignorò l’allarme dell’antivirus e decise di aprire comunque l’allegato. Il risultato fu tutta la rete aziendale, server compresi, criptati da ransomware.
-
Che i backup non solo vanno fatti, ma vanno fatti “bene”. Per proteggersi da un ransomware, ad esempio, un backup contenuto in un hard disk esterno è a rischio quanto il contenuto del pc stesso. Infatti i ransomware hanno la capacità di diffondersi all’interno dei dispositivi connessi al pc su porta USB (quindi hard disk, chiavette usb etc) nonché a tutti gli altri dispositivi di rete utilizzando il protocollo SMB (che è, in pratica, il sistema che vi permette di esplorare le risorse e le cartelle su Windows). Gli unici backup efficaci sono quelli “offline”, cioè non collegati al pc o alla rete (ad esempio un hard disk esterno, però staccato dal pc) oppure quelli che utilizzano dei protocolli di trasmissione diversi da Samba, come ad esempio il protocollo FTP o Rsync.
-
Che la formazione è alla base di tutto. L’unico modo per essere al sicuro è essere “consapevoli”, solo in questo modo si può ridurre il rischio. Sempre meglio aver paura e chiedere a personale esperto prima di rischiare di fare un danno maggiore. E se si ha paura di aver fatto qualcosa di sbagliato, staccare immediatamente la spina del pc (non del monitor…).