8 Feb 2017

No More Ransom risolve la situazione

Malware Sicurezza

A Maggio 2016 Marion, utente proveniente dalla Germania, ha acceso il suo computer di casa senza sapere quello che le aspettava.

I problemi sono iniziati quando il suo computer ha iniziato a non avviarsi in maniera normale, non permettendole di accedere al desktop. La situazione non era cambiata nemmeno dopo il riavvio del PC. Poi ha visto il messaggio del malware sullo schermo. Non capiva come poteva esser stata infettata. Non aveva notato nulla di sospetto l’ultima volta in cui lei o qualche membro della sua famiglia si era connesso al computer.

Ma eccolo qui:

CryptXXX v3 ransom note

L’aumento dei ransomware

I ransomware sono stati un problema sempre più diffuso negli ultimi anni e la loro popolarità non è affatto in declino. Sappiamo tutti quanto sia importante effettuare regolarmente i back up, non aprire mail sospette, utilizzare il miglior software di sicurezza e così via. Ma tutto può succedere e all’improvviso non potete più avere accesso ai dati del vostro PC, alle condivisioni di rete e agli hard disk collegati.

Non potete fare in modo che il vostro PC sia sicuro al 100% a meno che non lo scolleghiate da qualsiasi rete, rimoviate il lettore CD, l’USB e molto altro – e non è una cosa molto pratica nel mondo connesso di oggi. Per questo motivo, è il momento di occuparci della gestione del rischio: per riuscire a trovare un equilibrio personale tra la convenienza, la sicurezza e la privacy.

E qualora voi doveste essere vittime di un attacco ransomware, dovreste sapere che non avete solo due opzioni tra cui scegliere (pagare o non pagare). Al contrario, ne avete molte di più.

Potrebbe essere più difficile riavere indietro i vostri dati rispetto a prima. Gli hacher risolvono i “bug” che permettevano alle aziende come Kaspersky Lab e ai suoi partner di sviluppare strumenti generici per decriptare file colpiti da diverse minacce ransomware. Oggi esistono anche altre varianti di ransomware sempre più sofisticati e spesso per risolvere la situazione si ha bisogno delle chiavi private dei criminali.

Riavere indietro i vostri dati

Dal momento che la sua giornata peggiorava sempre più, Marion ha spento il suo computer e ha chiesto aiuto al dipartimento IT che ha potuto raccogliere tutti i dati importanti: il messaggio del ransomware, i file sul disco e anche alcune foto e PDF prima e dopo la crittografia. Hanno provato tutti gli strumenti disponibili per decriptare i file ma nessuno di questi ha funzionato.
No More Ransom saves the day

Arrivati a quel punto, tutto quello che era successo al suo PC ha sconvolto Marion. Il suo hard disk conteneva un documento con foto della famiglia molto preziose risalenti a oltre un decennio fa: anni di eventi speciali, organizzati in cartelle e per data. Era praticamente tutto inaccessibile.

Marion non aveva effettuato un back up esterno ma era ancora sicura di una cosa: non avrebbe pagato nulla ai criminali.

La ragazza ha contattato le persone con cui aveva condiviso le sue foto nel tempo e ha chiesto loro di inviargliele di nuovo. In questo modo è riuscita ad averne alcune indietro, anche se la maggior parte di queste è andata persa.

Ha controllato in rete con l’aiuto degli impiegati del dipartimento IT ma non è riuscita a trovare una soluzione. Si è rivolta poi ai suoi amici. Infine, in extremis, ha scritto un post su Facebook chiedendo aiuto e offrendo una ricompensa di 500 euro a chiunque fosse stato in grado di aiutarla a riavere indietro i suoi file senza pagare i criminali!

(Translation: Though I received many hints from various helping hands, my files remain encrypted. Looks like I got hit by a new variant. But I won't give up the hope and raise the bounty to 500 euros for anyone who can help to decrypt my files.)

(Traduzione: Anche se ho ricevuto tanti consigli da diverse persone, i miei file hanno continuato ad essere criptati. Sembra che io sia stata colpita da un nuovo tipo di malware. Ma non perderò la speranza e aumenterò la ricompensa fino a 500 euro per chiunque possa aiutarmi a decriptare i miei file).

Circa 20 persone hanno risposto al suo post e hanno provato ad aiutarla, ma nessuno c’è riuscito.

È il momento di NoMoreRansom

È stato allora che sono stato coinvolto nella faccenda. Un mio vecchio compagno di scuola ha notato il post di Marion e, sapendo che io lavoro per il team GReAT di Kaspersky Lab, mi ha aggiunto alla conversazione.

Mi sono messo in contatto con Marion e lei mi ha fornito tutte le informazioni necessarie che mi avrebbero permesso di controllare gli strumenti per decriptare i suoi file. Ma non ero riuscito a trovare nulla per il tipo particolare di malware che l’aveva colpita.

Con le informazioni di Marion a portata di mano, ho chiesto aiuto ai nostri specialisti dei ransomware. Mi hanno subito confermato che si trattava della nuova variante di CryptXXX V3 e che gli strumenti che l’avrebbero aiutata a decriptare i suoi file non erano ancora disponibili. Ho comunicato la brutta notizia a Marion ma le ho detto di non pagare il riscatto (così come gli hacker creano un nuovo ransomware, noi collaboriamo con le forze dell’ordine e con altri partner per sviluppare strumenti di decriptaggio o per ricavare le chiavi private conservate dai criminali nei loro server command and control).

Facciamo tutto questo con il progetto NoMoreRansome. Nell’estate del 2016, Europol, Kaspersky Lab e Intel hanno lanciato il portale NoMoreRansom.org per aiutare le persone colpite dai ransomware a recuperare i propri file e per aiutare a interrompere il redditizio modello di business che fa volere sempre di più ai cybercriminali. Il progetto adesso ha più di 40 partner.

Il 20 dicembre abbiamo aggiunto un altro decryptor per CryptXXX V3 alla pagina NoMoreRansom. È assolutamente gratuito, così come lo sono anche il resto degli strumenti per ransomware che troverete sul sito.

Pensavo ancora al caso di Marion, quindi l’ho contattata su Facebook e l’ho indirizzata al nuovo strumento. Un paio di giorni dopo mi ha contattato per dirmi che era riuscita a recuperare i file criptati! (Ovviamente non avrei mai accettato la ricompensa).

Ha imparato la lezione

Ho chiesto a Marion cosa aveva imparato da questo incidente.

Oltre ad effettuare back up regolari dei suoi dati su diversi hard disk esterni, adesso sta ancora più attenta quando naviga su Internet e si assicura di aver installato gli ultimi aggiornamenti. Inoltre, non fa più usare a nessuno il suo PC.

Tutto questo ci riporta al fatto che ognuno di noi deve saper essere in grado di gestire i rischi. In fin dei conti è compito vostro stare attenti al vostro PC, alla rete, alla privacy e ai vostri beni personali. Ma se tutto va male, ricordatevi che non avete solo l’opzione di pagare o non pagare. NoMoreRansom.org dovrebbe essere il primo sito da controllare in questi casi (potreste riavere indietro i vostri file senza pagare nemmeno un centesimo). Anche se potrebbe non esserci subito una soluzione per voi, date tempo al tempo e non pagate i criminali.

Marion è solo uno dei tanti utenti che hanno tratto beneficio dal progetto NoMoreRansom che ha finora rilasciato 7 strumenti gratuiti di decriptaggio. Con il suo aiuto, cinque mila utenti hanno sbloccato con successo i loro file ed è stato possibile risparmiare 1.5 milioni di dollari in riscatti.

https://www.nomoreransom.org/