Oggi questo articolo di Paolo Attivissimo mi ha ricordato che il problema ransomware c’è e si fa sentire spesso.

Il mio primo impatto con il ransomware è stato devastante. Mi sono sentito male io per l'altra persona che si è trovata con tutti i dati crittografati.

Il ransomware non ti dà possibilità di scampo. L’unico modo per risolvere definitivamente il problema è pagare il riscatto, ma non cedere, perché altrimenti si farebbe il gioco dei criminali, che in alcuni casi non rispettano neanche le proprie promesse.

Se nessuno di noi pagasse, i criminali non sarebbero più interessati a produrre malware del genere. Purtroppo però c'è gente che paga.

Perdere tutti i dati non è un’esperienza molto bella per un’azienda. Ce lo racconta l’articolo di Attivissimo, ce lo racconta la nostra esperienza personale.

Se siamo fortunati, ma molto molto molto, i dati sono decrittabili gratuitamente con un decryptor, nella maggior parte dei casi però non c'è alcun decryptor.

Qui si presentano due alternative:
A) Salvare i dati su un Hard Disk (poi resettare) ed attendere pazientemente che la chiave di sblocco venga resa disponibile

B) Resettare tutto se i dati non sono importanti e perderli per sempre

Pagare non è fattibile, a mio parere.
Prima (ed inalcuni casi anche ora) i criminali chiedevano 2 Bitcoin (criptovaluta digitale di cui parleremo in seguito) per sbloccare tutti i dati, ora ne chiedono molti di meno ovviamente, per un semplice motivo. Fino a due anni fa un bitcoin valeva 250 euro. Sono rimasto anche io stupito quando ho visto la variazione del prezzo della criptovaluta. È arrivata a 1200 euro.

Come potete vedere, tempo fa il bitcoin valeva 200 euro. Ora ne vale 1.200

Di certo è stata una gioia per gli investitori, ma non per chi è stato colpito dalla piaga del ransomware, perché il riscatto ovviamente andrà sempre ad aumentare.

Sotto, invece, la favoletta dell'azienda colpita da ransomware, in esclusiva per voi, da far leggere a vostra nonna/nonno.

La storia dell’azienda colpita da Ransomware

Oggi un’azienda può essere distrutta in 30 secondi. Bastano: un impiegato sprovveduto ed un computer.

Immaginiamo una situazione tipo: l’impiegato entra alle 8:00 nell’ufficio. Annoiato, decide di leggere la posta elettronica aziendale e trova una mail con titolo Fattura e con testo:

Gentile nome.cognomeeco la sua fattura in allegato.
Apri file fattura.js per leggere la fattura.

L’impiegato, noncurante, apre felicemente la sua fattura, ma il documento non è che un insieme di parole strane (oppure non si apre nulla). Il nostro impiegato, scontento, riprende la normale lettura della posta.

Un’ora dopo, l’azienda è in crisi.

Il direttore non sa che cosa deve fare, visto che tutti i documenti aziendali sono illeggibili ed i computer sono bloccati con una richiesta in Inglese, che più o meno dice questo:

Il tuo computer è bloccato. Tutti i file saranno criptati e illeggibili fin quando non pagherai un riscatto di 1200 euro in Bitcoin.

Tutti chiamano l’informatico di turno, che riferisce l’amara verità: non è possibile riottenere i dati.

L’azienda, ora, ha due possibilità:

1. Pagare

2. Non pagare e perdere i dati.

Mettiamo che la nostra azienda decida sventuratamente di pagare.

Procede ad inviare i Bitcoin all’indirizzo richiesto. Aspetta un’ora, due ore, tre ore, quattro ore, cinque ore, dieci ore, ventiquattro ore.

Niente. Il codice di sblocco non arriva. Non arriverà mai.

I criminali sono stati così subdoli da non mandare il codice di sblocco. All’azienda non resta altro che conservare i dati in un Hard Disk in attesa di un prossimo rilascio della chiave da parte di esperti informatici.

Ci sono voluti 30 secondi per far partire lo script. Ci vorrà molto lavoro per far ripartire l’azienda, che molto probabilmente fallirà a causa della perdità di tutti i file più importanti.

Per questo, l'unico modo per salvarsi sempre è fare il backup. Sempre il backup, continuamente, alternato tra dischi diversi, sia in ambito enterprise che in ambito personale. Il backup è quella cosa che andava fatta prima, è vero, ma è anche quella cosa che si può fare adesso.

“Ransomware is unique among cybercrime because in order for the attack to be successful, it requires the victim to become a willing accomplice after the fact”— James Scott