Abbiamo già parlato della prima versione di Cryptolocker in questo articolo descrivendo come lavora e come proteggersi.
Purtroppo sono state messe in circolazione molte versioni diverse di ransomware che rendono difficile una prevenzione efficace degli attacchi.

Il nostro consiglio è comunque sempre quello di affidarsi a professionisti IT per farsi consigliare delle strategie di prevenzione, disaster recovery e business continuity efficaci.

Però, come sa chi lavora in questo campo, non tutte le aziende comprendono l'importanza di un sistema robusto e i costi di eventuali "disastri".

Achab, un distributore di software, ha messo a disposizione un utility per calcolare il costo di un incidente IT, raggiungibile a questa pagina.

Ma se non c'è un backup o qualcosa è andato storto?

Qualche problema può sempre succedere, backup che si fermano perchè i dischi sono pieni e non vengono lette (o non sono impostate) le email di avviso o altro. In questi casi abbiamo alcune soluzioni che possono aiutarci, se siamo fortunati.
Come già detto prima le varianti di questo virus sono sempre di più e lavorano tutte in maniera diversa, quindi l'efficacia di queste soluzioni non è sicura.

Prima di procedere effettuare una scansione antivirus su tutti i computer e server della rete. Diamo per scontato che i computer sani (e speriamo anche i server) siano stati scollegati dalla rete per evitare ulteriori perdite di dati.

Primo tentativo

Sulla macchina infetta o sul file server controllare se esistono versioni precedenti dei file.

Il procedimento è più o meno lo stesso su tutte le versioni di Windows:
clic destro sul file infetto, proprietà e selezionare la scheda versioni precedenti.

In alternativa è possibile vedere se sul computer è configurato un backup automatico e provare a ripristinarlo. Consigliamo prima di quest'operazione di fare una copia del disco per sicurezza.
I backup li troviamo in Pannello di controllo, Backup e Ripristino.

È possible provare il recupero dei file cancellati con Photorec.

Secondo tentativo

Il cloud è sempre più utilizzato sia in ambito professionale che privato. È comune trovare Dropbox, Google Drive, OneDrive installati sui computer dai singoli utenti per avere i file disponibili su altre postazioni o a casa.
Alcuni cloud tengono memoria della modifica dei file e quindi potrebbe essere possibile recuperarli grazie a questi servizi. In rete ci si trovano le guide su come verificare questa possibilità, riportare qui tutti i casi sarebbe lungo e inutile.

Terzo tentativo

Per nostra fortuna alcuni creatori di questi virus sono stati individuati e le chiavi di decrittazione scoperte, mentre per altre versioni è stato scoperto l'algoritmo quindi in alcuni casi è possibile recuperare i file.

Dei tool per la decrittazione sono disponibili sul sito Kaspersky a questo indirizzo

Aggiornamento 1 luglio 2016

È stato creato, grazie agli sforzi di diversi esperti di sicurezza informatica, un documento contenente informazioni preziose sui ransomware.

Nel documento, per i virus noti si trovano:

• l'estensione che viene aggiunta ai file
• l'eventuale strumento di recupero file
• lo screenshot del messaggio di riscatto

È inoltre presente una sezione di strategie di prevenzione.

È stata poi aggiunta una sezione sui ransomware non ancora identificati, con le informazioni conosciute.

Il file è disponibile su Google Drive a questo indirizzo e può essere scaricato liberamente.

Aggiornamento 5 luglio 2016

AVG ha rilasciato 6 tool di decrittazione per i seguenti ransomware:

• Apocalypse
• BadBlock
• Crypt888
• Legion
• SZFLocker
• TeslaCrypt

Potete trovare le istruzioni per l'utilizzo e il download a questo indirizzo.