L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/19 8:20.
Questa settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.
Questo è quello che in gergo si chiama
ransomware. Ne ho già
parlato in passato, segnalando per esempio il
bollettino di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione Svizzera, ma visto che l’epidemia prosegue e ci sono delle novità tecniche è il caso di scrivere una spiegazione dettagliata.
Cosa posso fare?
Per prima cosa,
spegnete subito il computer sul quale è comparso l’avviso e spegnete tutti gli altri computer presenti sulla stessa rete informatica. Non perdete tempo. Il computer sul quale c’è l’avviso va spento brutalmente, staccando la spina o azionando il suo interruttore principale, senza spendere tempo a chiudere ordinatamente: quel computer sta probabilmente tentando di infettare gli altri computer della rete. Se non volete moltiplicare il problema, isolatelo più in fretta che potete.
Se avete una copia di sicurezza dei dati su un disco rigido collegato in rete,
scollegatela immediatamente dalla rete staccando il cavo o spegnendo il Wi-Fi. Molti
ransomware esplorano la rete locale e tentano di infettare e cifrare tutti i dispositivi che trovano, specialmente quelli di backup, in modo che non possiate ripristinare i vostri dati e sventare il ricatto.
Non riaccendete nulla fino a quando avete staccato il cavo di collegamento alla rete locale o spento il Wi-Fi per mantenere l'isolamento, e comunque riaccendete soltanto quando è sul posto uno specialista informatico che vi dirà se, come e quando riaccendere
. Non cancellate nulla dai computer colpiti.
Chiedete allo specialista di creare una copia integrale dei dischi rigidi dei computer infetti, ma senza avviarli. Di solito questo si fa estraendo fisicamente i dischi dai computer oppure usando appositi dischi/chiavette di avvio. È importante non copiare i singoli file ma creare un’immagine completa (di solito si crea una immagine ISO). Questa copia serve nel caso che in seguito venga scoperta una tecnica di decifrazione
o venga rilasciata la chiave di decifrazione universale (a volte succede); se l’avete, potrete recuperare i dati, magari tra qualche mese.
Posso rimediare io? Mi serve davvero un tecnico?
Se non siete più che esperti e più che previdenti, non potete rimediare da soli (e se siete stati infettati da un
ransomware, probabilmente è perché non siete sufficientemente esperti e non siete stati abbastanza previdenti). Tenete presente che questi
ransomware sono scritti da professionisti del crimine: di solito sanno quello che fanno ed è difficile batterli.
Non perdete tempo e non cercate di risparmiare soldi con il fai da te: rischiate di perdere per sempre tutti i vostri dati.
Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto.
Chiamate uno specialista. Alcuni di questi
ransomware hanno dei difetti che consentono il recupero dei dati: un bravo specialista sa come intervenire.
Se avete una copia di sicurezza di tutti i vostri dati essenziali, potete formattare i computer colpiti, reinstallare il sistema operativo e ripristinare i dati da questa copia. Se non l’avete, ora sapete perché gli esperti raccomandano sempre di averne almeno una.
Se siete dipendenti e vi accorgete del
ransomware sul posto di lavoro, chiamate subito l'assistenza informatica e non vi preoccupate che qualcuno vi possa dare la colpa dell'infezione: se cercate di nascondere il problema non farete altro che peggiorarlo e probabilmente alla fine scopriranno il vostro tentativo d’insabbiamento, aggravando la vostra posizione.
Se siete datori di lavoro o dirigenti, vi conviene annunciare subito che non ci saranno sanzioni, in modo da avere la massima collaborazione dei dipendenti.
Mi conviene pagare?
Mi spiace dirlo, ma probabilmente sì; se non avete una copia dei vostri dati, vi conviene pagare il riscatto e imparare la lezione. Valutate quanto valgono i dati che sono stati cifrati e quanto vi costerebbe ricrearli (ammesso che sia possibile) o non averli più. Consolatevi: l’amministrazione pubblica del Lincolnshire, nel Regno Unito, è stata paralizzata da un
ransomware che chiedeva
un milione di sterline (1,4 milioni di franchi, 1,3 milioni di euro) di riscatto.
Se pagate, non è detto che otterrete la password di sblocco dei vostri dati: dopotutto state trattando con dei criminali. Ma di solito ai criminali che vivono di
ransomware conviene che si sappia che le vittime che pagano il riscatto ricevono la password di sblocco: se si diffondesse la voce che pagare è inutile nessuno pagherebbe più.
Conviene inoltre decidere rapidamente se pagare o no, perché molti ransomware aumentano l'importo del riscatto se si lascia passare troppo tempo. Di solito non c’è modo di trattare con i criminali che gestiscono il ransomware perché non c’è un indirizzo da contattare e comunque si tratta di bande che lavorano all’ingrosso, per cui voi siete probabilmente solo una delle loro tante vittime e loro non hanno tempo da perdere in trattative: prendere o lasciare.
Che prevenzione posso fare?
La miglior forma di prevenzione è
fare il più spesso possibile una copia di scorta di tutti i dati essenziali e tenerla fisicamente isolata da Internet e dalla rete locale quando non è in uso. Evitate le soluzioni di backup permanentemente connesse alla rete locale: verrebbero infettate e rese inservibili.
Tenere aggiornato il computer è fondamentale. La maggior parte dei
ransomware si insedia sfruttando difetti delle versioni non aggiornate di Flash (come
descritto qui), di Java, del browser o di Windows. Se possibile, comunque, Flash va rimosso o disabilitato, perché si è rivelato un colabrodo nonostante i continui aggiornamenti correttivi.
Usare un antivirus aggiornato è meglio di niente ma non garantisce l’invulnerabilità: l’antivirus bloccherà i
ransomware meno recenti ma non riconoscerà quelli appena usciti.
Adottare un firewall efficace è molto utile, specialmente se consente di filtrare i tipi di file in arrivo, bloccando per esempio i file ZIP o PDF o JAR.
Usare Mac OS o Linux invece di Windows riduce il rischio, perché la maggior parte dei ransomware è scritta per Windows, ma non vuol dire che un utente Apple o Linux possa considerarsi immune: sono in circolazione
ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java.
È importante diffidare degli allegati ai messaggi. Anche se il mittente è qualcuno che conosciamo, se l'allegato è inatteso o se il testo del messaggio non è nello stile solito del mittente è meglio non aprire gli allegati, neanche se si tratta di documenti PDF o di file ZIP. Spesso i
ransomware scavalcano le difese rubando le rubriche di indirizzi di mail, per cui le vittime ricevono mail infette provenienti da indirizzi di utenti che conoscono e di cui si fidano. Prima di aprire qualunque allegato, di qualunque provenienza, è meglio fermarsi a pensare: c'è qualcosa di sospetto? Mi aspettavo questo allegato? Posso chiamare il mittente al telefono e chiedergli se mi ha davvero mandato un allegato?
Visitare solo siti sicuri e attinenti al lavoro è una buona cautela, ma non significa che ci si possa fidare ciecamente. Evitare i siti discutibili, per esempio quelli pornografici o che ospitano app piratate o film e telefilm, riduce molto il rischio ed è saggio anche a prescindere dal
ransomware, ma molti siti rispettabilissimi possono ospitare e disseminare questo tipo di attacco. In questi giorni, per esempio, è stato
segnalato un numero molto elevato di siti normali, basati su Wordpress, che ospitano inconsapevolmente delle varianti di
ransomware.
A parte questi rimedi tecnici, è indispensabile che ci sia un comportamento sensato e prudente da parte di tutti gli utenti. Aprire allegati ricevuti inaspettatamente, visitare siti di gioco o di film o pornografici dal computer di lavoro, non stare aggiornati sono tutte abitudini diffuse che vanno abbandonate, in modo da creare terra bruciata intorno ai criminali. Soprattutto non bisogna cadere nell’errore di pensare che tanto a noi non capita: infatti il
ransomware viene disseminato a caso e quindi può colpire chiunque, dal privato all’azienda all’ente pubblico. E come tutti i guai, anche il
ransomware è sempre il problema di qualcun altro fino al momento in cui colpisce noi.
Questa settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.
La sonda (immagine qui accanto) pesava circa 1600 chili e aveva un razzo di discesa che veniva attivato negli ultimi istanti della caduta verso la Luna (un po' come fa SpaceX oggi per far atterrare i suoi razzi Falcon). Ma la tecnologia dei motori a razzo degli anni Sessanta non consentiva di regolare con affidabilità e precisione la spinta in modo da consentire un atterraggio delicato. Soluzione tipicamente russa: lasciare che la sonda si sfracelli, ma mettere a bordo un modulo eiettabile incapsulato in un air-bag (la parte scura in alto a destra nella foto qui accanto). Sotto la sonda c'era un’asta: quanto quest’asta toccava il terreno, si attivava l'espulsione verso l'alto del modulo, che ricadeva e semplicemente rimbalzava sulla superficie lunare fino a fermarsi da qualche parte.
Un mesetto fa ho pubblicato online la prima bozza dell'Almanacco dello Spazio: un e-book gratuito in italiano che, giorno per giorno, vi racconta gli eventi spaziali e astronomici avvenuti in quel giorno, con le chicche, le immagini rare e le curiosità di ciascun evento. Una nuova bozza è ora scaricabile liberamente cliccando qui.
