Cryptovirus, alcune soluzioni
Abbiamo già parlato della prima versione di Cryptolocker in questo articolo descrivendo come lavora e come proteggersi.
Purtroppo sono state messe in circolazione molte versioni diverse di ransomware che rendono difficile una prevenzione efficace degli attacchi.
Il nostro consiglio è comunque sempre quello di affidarsi a professionisti IT per farsi consigliare delle strategie di prevenzione, disaster recovery e business continuity efficaci.
Però, come sa chi lavora in questo campo, non tutte le aziende comprendono l'importanza di un sistema robusto e i costi di eventuali "disastri".
Achab, un distributore di software, ha messo a disposizione un utility per calcolare il costo di un incidente IT, raggiungibile a questa pagina.
Ma se non c'è un backup o qualcosa è andato storto?
Qualche problema può sempre succedere, backup che si fermano perchè i dischi sono pieni e non vengono lette (o non sono impostate) le email di avviso o altro. In questi casi abbiamo alcune soluzioni che possono aiutarci, se siamo fortunati.
Come già detto prima le varianti di questo virus sono sempre di più e lavorano tutte in maniera diversa, quindi l'efficacia di queste soluzioni non è sicura.
Prima di procedere effettuare una scansione antivirus su tutti i computer e server della rete. Diamo per scontato che i computer sani (e speriamo anche i server) siano stati scollegati dalla rete per evitare ulteriori perdite di dati.
Primo tentativo
Sulla macchina infetta o sul file server controllare se esistono versioni precedenti dei file.
Il procedimento è più o meno lo stesso su tutte le versioni di Windows:
clic destro sul file infetto, proprietà e selezionare la scheda versioni precedenti.
In alternativa è possibile vedere se sul computer è configurato un backup automatico e provare a ripristinarlo. Consigliamo prima di quest'operazione di fare una copia del disco per sicurezza.
I backup li troviamo in Pannello di controllo, Backup e Ripristino.
È possible provare il recupero dei file cancellati con Photorec.
Secondo tentativo
Il cloud è sempre più utilizzato sia in ambito professionale che privato. È comune trovare Dropbox, Google Drive, OneDrive installati sui computer dai singoli utenti per avere i file disponibili su altre postazioni o a casa.
Alcuni cloud tengono memoria della modifica dei file e quindi potrebbe essere possibile recuperarli grazie a questi servizi. In rete ci si trovano le guide su come verificare questa possibilità, riportare qui tutti i casi sarebbe lungo e inutile.
Terzo tentativo
Per nostra fortuna alcuni creatori di questi virus sono stati individuati e le chiavi di decrittazione scoperte, mentre per altre versioni è stato scoperto l'algoritmo quindi in alcuni casi è possibile recuperare i file.
Dei tool per la decrittazione sono disponibili sul sito Kaspersky a questo indirizzo
Aggiornamento 1 luglio 2016
È stato creato, grazie agli sforzi di diversi esperti di sicurezza informatica, un documento contenente informazioni preziose sui ransomware.
Nel documento, per i virus noti si trovano:
- l'estensione che viene aggiunta ai file
- l'eventuale strumento di recupero file
- lo screenshot del messaggio di riscatto
È inoltre presente una sezione di strategie di prevenzione.
È stata poi aggiunta una sezione sui ransomware non ancora identificati, con le informazioni conosciute.
Il file è disponibile su Google Drive a questo indirizzo e può essere scaricato liberamente.
Aggiornamento 5 luglio 2016
AVG ha rilasciato 6 tool di decrittazione per i seguenti ransomware:
- Apocalypse
- BadBlock
- Crypt888
- Legion
- SZFLocker
- TeslaCrypt
Potete trovare le istruzioni per l'utilizzo e il download a questo indirizzo.