Maledetti ransomware. Una nuova campagna di infezioni, iniziata settimana scorsa, sta seminando il panico nel nostro Paese.
Centinaia di computer vengono infettati ogni giorno e per riavere indietro i dati non sembra esserci altra strada che quella di pagare il riscatto richiesto dai cybercriminali.
A volte, però, l'invio della chiave di decrittazione non va a buon fine anche se si paga il riscatto. Cosa bisogna fare in questi casi? Sul Web si dice chiaro e tondo che non c'è modo di recuperare i dati senza cedere al riscatto, ma… non è così.
Abbiamo fatto due chiacchiere con Riccardo Meggiato di MeggiatoLab, un'azienda che fornisce proprio il servizio di recupero dei dati criptati da TeslaCrypt 3.0.
Ormai abbiamo fatto il callo alle infezioni da Ransomeware, Riccardo, perché questa dovrebbe essere diversa?
Per due distinte ragioni. La prima è che utilizza un tipo di crittografia più serrata e, dunque, difficilmente crackabile. In soldoni, prima "bastava" analizzare un file crittato per risalire alla chiave, adesso non è più così. La seconda ragione è che questa volta pare che i criminali che lo controllano (il meccanismo è pur sempre quello del C&C) non sono così "corretti".
Circola voce che anche dopo aver pagato, a volte la chiave non venga inviata: è vero?
In Rete le testimonianze in tal senso abbondano ed è successo anche a due miei clienti che, arrivati a questo punto, hanno deciso di investire su una "pulizia" vera e propria. Ora, so che può sembrare un portar acqua al mulino, ma ricordo che, anche inserendo la chiave che sblocca i file, il computer rimane comunque infetto e potenzialmente alla mercé dei criminali che gestiscono il ransomware.
È davvero possibile decrittare i dati senza pagare i ricattatori? A chi bisogna rivolgersi?
Sì è possibile. È un processo difficile e lungo, ma si può in buona parte dei casi. Ci sono diversi centri che offrono il servizio, come il nostro MeggiatoLab (www.meggiatolab.com).
Quanto costa risolvere la situazione?
Per i costi, bisogna fare una premessa. Visto che il malware in questione è piuttosto combattivo, sappiamo che c'è una certa percentuale di fallimento, casi in cui non si possono recuperare i dati. Per questo motivo, onde evitare conti esosi ai clienti, abbiamo deciso di scindere in due la spesa. Prima compiamo un'analisi del sistema e un test di decrittazione, dal costo molto contenuto. Se l'analisi dà esito positivo, e quindi si può procede, si passa alla rimozione del malware e alla decrittazione dei file. Il costo medio (dipende anche dalla grandezza del disco fisso) si attesta sui 700-800 euro + Iva.
Si recuperano solo i dati o si ripulisce il disco e quindi torna tutto a posto?
Ottima domanda. In realtà si opera al contrario. Prima rimozione del malware, e quindi decrittazione. È per questo che, se tutto procede senza intoppi, il recupero è al 100%.
A questo punto resta da sapere una sola cosa: quanto tempo ci vuole per riavere indietro i nostri dati se decidiamo di dare il compito di decrittazione a uno specialista invece di pagare il riscatto?
Il tempo di analisi varia tra 1 e 2 giorni lavorativi, quello di attività tra 3 e 5 giorni. Considera che, ovviamente, dal momento in cui riceviamo il sistema questo non viene più acceso e, dunque, non "scatta" la nuova richiesta di denaro del ransomware.
In definitiva, quindi, a chi conviene ricorrere all'operato di un professionista per recuperare i dati? Ovviamente, parliamo di chi non ne ha un backup disponibile.
Considerato che il costo dell'operazione è di molto superiore a quello della richiesta del riscatto (che si attesta sui 500 euro circa), ci sono due categorie: quelli che hanno già chiesto la chiave ma che non sono riusciti a ottenerla per un qualche problema tecnico e coloro che non vogliono cedere al ricatto di un criminale, anche se questo significa spendere qualche centinaio (lordo) di euro in più.
Infine, non dimentichiamo uno dei punti chiave svelati da Riccardo Meggiato: anche se richiediamo la chiave, il malware (o quantomeno il suo downloader) resta nel sistema. Possiamo essere sicuri che un domani non verrà riattivato per scaricare altre minacce?
Se decidiamo di pagare il riscatto, evitiamo di tenerci una bomba a orologeria in casa e dopo aver riottenuto l'accesso ai dati, reinstalliamo il sistema per esser sicuri di non avere brutte sorprese.