"HO BECCATO UN RANSOMWARE". CHE FARE?
Debora Casalini
Marketing assicurativo - La mia mission è comunicare l'importanza di curare e capire l'assicurazione come strumento per contenere perdite economiche nel business e far conoscere le competenze e il brand di Margas
Pomeriggio di panico! Su un social un utente chiede aiuto al suo gruppo. Ha beccato un ransomware, ha "pulito" il PC, ma la chiavetta USB di backup è criptata pure lei. La causa? Non una mail aperta sconsideratamente (la cosa più ovvia), ma lo scarico di un crack. Ahi, ahi. Sono cose che non si fanno! La fregatura sta scritta nel DNA. Te la vai proprio a cercare.
I volenterosi appassionati di sicurezza informatica del suo gruppo si lanciano in una serie di consigli per decriptare i file. Link a software di ogni genere, a gruppi di auto-aiuto per disperati. La confusione è molta.
Fuori dal gruppo una fonte autorevole sentenzia: se hai conservato il file di richiesta di riscatto hai una chance: paga e forse ti daranno la chiave di cifratura per liberare i tuoi preziosi file. Forse. Altro non si può fare.
L'esperto del gruppo risponde:
"Le spiego... cancellare o no il file con la richiesta di riscatto è inutile. Cancellare il virus o attaccare l'hard disk come secondario su un'altro pc è la prima cosa da fare.. poi dipende tutto dalla variante di crypto che si è preso. Fortunatamente xxxx ne ha preso uno non nuovissimo e forse c'e la possibilità di recuperare qualcosa"
Passano le ore e la verità si palesa inesorabile e dura: Troppo tardi.
Credo che possiamo concludere che un ransomware NON SIA UN VIRUS ma piuttosto una specie di eseguibile (come un batch dal prompt dei comandi). Quando lo becchiamo abbiamo solo due opportunità: andare nel task manager e fermare l'attività di cifratura o spegnere il PC di brutto. Così l'abbiamo fermato e forse salvato una parte dei nostri files. Riaccendendo il computer possiamo fare un detachment dell'allegato malefico e una analisi per scovare le informazioni per pagare il riscatto e sperare in bene di ricevere la chiave di cifratura. Ma le chance sono bassisime.
Altra cosa - se è un ransomware vecchio - e cioè di un epoca in cui non avevano ancora imparato a criptare le shadow copies (opzione di windows che non è operativa di default, ma bisogna aver impostato), recuperare la shadow copy.
Io l'ho capita così.
Cosa fare allora PRIMA che sia troppo tardi?
NON SCARICARE CRACK. E' illegale e pericoloso evidentemente. Vale comunque la regola generale per esperimenti di qualunque genere: preparare una macchina virtuale e fare uno snapshot per il ripristino in caso qualcosa vada storto.
Se invece ricevi UNA MAIL ( e ne riceviamo tante ogni giorno), drizza le orecchie. Sempre. Non fidarti del display name dell'anteprima. Visualizza l'indirizzo intero. Se è credibile, allora vai nelle proprietà della mail e controlla il return path. E' l'indirizzo reale da cui proviene la mail.
Adesso puoi pensare di aprire l'allegato o cliccare sul link incluso nel testo del messaggio. Se poi vuoi essere sicurissimo: telefona alla supposta fonte e accertati.
Fai sempre il BACKUP!
Questi incidenti naturalmente non capitano solo nel privato. Le aziende sono sotto attacco e il personale va adeguatamente formato e messo in allerta.
Io l'ho capita così!
presidente presso APIC associazione portatori impianto cocleare
8 anniallora mi pare è più utile abbracciare la non correttezza e fare una postilla ,un asterisco per allarmare rispetto alla opzione "riscatto" ,almeno si potrà dire ti avevo avvisato . Grazie pa la cortesia e il tempo che mi ha donato .
presidente presso APIC associazione portatori impianto cocleare
8 anniperò questa storia del mettere in conto di pagare il riscatto la trovo non proprio aderente alle cose giuste da fare , mi spiego , sono un ignorante informatico con scarse potenzialità di entrare dentro i meccanismi tecnici che fanno diventare la persona utilizzatrice del PC un tantino preparato ,mi è capitato di essere scelto per un dono che ha criptato tutto , chiedevano riscatto in Bticon . Alla fine portato Pc al negozio , resettato tutto , grave danno e ricominciare daccapo , ora cerco di stare in guardia ,ma mi metto a ridere se mi accorgo di non avere aperto una mail proveniente da indirizzo che pare strano ,non conosciuto e poi scoprire che è un mio lontano amico dei tempi delle occupazioni dei giardinetti sotto casa . Insomma se anche nei gruppi degli esperti c'è confusione , si vive per tentativi , come si può consigliare alla stragrande categoria dei tastieristi non professionali di pagare il riscatto . Ci vedo una sottomissione ,un piegare la testa e credere al destino baro ,certo non sai contro chi ribellarti , non sai chi è il signor donatore di pensierini che non stanno dentro i cioccolatini ,e che fai paghi ,ma a chi? Sei sicuro che veramente riavrai la chiave? Qualcuno può testimoniarlo?