CryptoLocker: come decriptare i file colpiti dal ransomware

PISA – Accendere il computer e scoprire che improvvisamente tutti i documenti salvati al suo interno non possono più essere aperti o che risultano del tutto illeggibili: è questa la situazione che si presenta davanti agli occhi di un utente colpito da un ransomware della famiglia Cryptovirus, ovvero da un codice malevolo che sequestra tutti i dati presenti all’interno di una PC (e di quelli collegati alla stessa rete), pretendendo il pagamento di un vero e proprio riscatto per la restituzione dei file.

Il più celebre di questi malware, il famoso CryptoLocker, è stato protagonista di un numero enorme di attacchi a partire dalla fine del 2013, infettando computer di privati, ma anche di piccole, medie e grandi imprese, in tutto il mondo.
I danni economici causati dagli hacker responsabili della creazione e della diffusione di questo e di altri ransomware ammontano a centinaia di milioni di dollari e tale somma risulta essere in costante crescita: il numero degli attacchi non accenna a diminuire e gli sforzi per far fronte alla pericolosità di questi virus si dimostrano spesso vani, perché versioni nuove e sempre più potenti dei malware vengono rilasciate a ciclo continuo.

Se per il singolo cittadino i dati contenuti nel PC di casa (documenti, video, musica e foto) hanno un valore fondamentalmente sentimentale, nel caso di un’azienda perdere archivi relativi a clienti e fornitori, contratti o progetti può causare il blocco totale delle attività, con ripercussioni anche molto gravi.

Dal momento che la minaccia del virus CryptoLocker e dei ransomware che ne mimano le modalità di attacco non accenna a diminuire, è molto importante imparare a riconoscere questo temibile nemico e sapere come fronteggiarlo.

Il virus CryptoLocker: di cosa si tratta

Il virus CryptoLocker non è altro che un codice malevolo che, una volta presente all’interno di un computer, di un hard disk o di un server, è in grado di avviare un processo di criptazione di tutti i file presenti, di fatto rendendoli inaccessibili.

Il CryptoLocker e i ransomware ad esso simili spesso infettano il computer della vittima viaggiando come file allegato ad un’email. Questi messaggi fraudolenti, il più delle volte, traggono in inganno l’utente sfruttando mittenti conosciuti oppure il nome di grandi aziende o istituzioni pubbliche: scambiando il file presente in allegato per un importante documento o per una fattura, il destinatario è portato a scaricarlo e ad aprirlo. A questo punto, senza che l’ignara vittima se ne renda conto, il malware è libero di aggredire tutti i dati presenti sulla macchina e sui dispositivi ad essa connessi, cifrando qualunque tipo di file.

Lo scopo di questi attacchi è quello di estorcere alle vittime una somma di denaro, chiesta in cambio della chiave di decriptazione necessaria per recuperare i dati resi inaccessibili. Infatti, al termine dell’attacco, sul desktop del computer appare un messaggio che informa lo sventurato utente dell’accaduto, invitandolo a pagare un’ingente somma di denaro in Bitcoin, la nota moneta virtuale purtroppo diventata valuta di scambio per molte delle transazioni illecite che avvengono attraverso il web.

Come fare a proteggersi dal CryptoLocker

L’arma migliore per proteggersi dall’attacco di questi virus è la prevenzione.
Le versioni più moderne del CryptoLocker sono così sofisticate da riuscire a superare senza problemi la barriera rappresentata dagli antivirus. Di conseguenza, è sbagliato fare affidamento solo su di essi come sistema di protezione.

In primis, qualunque azienda dovrebbe organizzarsi per usufruire di un servizio automatico di backup dei propri dati. In questo modo, in caso di attacco, sarebbe comunque possibile recuperare l’ultima copia dei propri database generata.
Il consiglio di salvare una copia dei dati più importanti all’interno di un hard disk o di una memoria esterna da conservare scollegata dal computer e dalla rete, ovviamente, vale anche per i privati.

Durante la consultazione della posta in arrivo, occorre prestare molta attenzione alle email sospette (con un oggetto poco chiaro o un mittente insolito) ed evitare di scaricare allegati sospetti.

Per gli utenti più esperti, il consiglio è quello di installare un software che consenta di amministrare le autorizzazioni per l’apertura e la modifica di file e cartelle. Con questo semplice accorgimento, è possibile impedire a qualunque altro software di operare sui dati presenti all’interno del computer se non espressamente autorizzato.

Come decriptare i file cifrati dal CryptoLocker

Tutti gli accorgimenti e le attenzioni possibili, a volte, non sono comunque sufficienti a scongiurare l’attacco del CryptoLocker e dei virus affini. Sempre più spesso, infatti, le infezioni hanno luogo semplicemente in seguito all’apertura di pagine web compromesse da questi codici malevoli.

La buona notizia è che, in alcuni casi, i dati possono essere recuperati anche dopo essere stati cifrati, e senza cedere al ricatto dei cyber-criminali.
Grazie ad un lungo lavoro di studio e di analisi e a server dalle notevoli capacità di calcolo, piccole e grandi realtà attive nel settore della sicurezza informatica continuano a condurre la loro battaglia contro gli hacker che mirano ad arricchirsi sfruttando i ransomware.

Individuando piccole falle nei codici dei programmi malevoli, in più occasioni è stato possibile sviluppare algoritmi che consentono di ricostruire le chiavi di decifrazione e di decodificare tutti i dati modificati dall’azione del virus.
Purtroppo, di mese in mese, si verifica il rilascio di nuovi ransomware oppure di versioni aggiornate di quelli già noti, in una eterna lotta tra chi mira a sradicare questo fenomeno e chi intende continuare ad arricchirsi in maniera illecita.

Perché pagare il riscatto agli hacker è inutile

I ransomware come il CryptoLocker, tipicamente, propongono il pagamento di un riscatto il cui importo aumenta al trascorrere del tempo dal momento dell’attacco.
Si tratta di una strategia molto subdola perché l’utente si sente costretto a prendere rapidamente una decisione, spaventato dalla possibilità che la somma necessaria per decriptare i file raggiunga cifre astronomiche.

In realtà, pagare gli hacker non dovrebbe mai essere considerata un’opzione: cedere al ricatto vuol dire fare il gioco dei criminali e fornire nuove risorse per lo sviluppo di minacce sempre più potenti e inarrestabili.

Va anche considerato che i Bitcoin, oltre a non essere così semplici da recuperare, rendono il pagamento del tutto non rintracciabile: nella stragrande maggioranza dei casi, l’utente che decide di pagare non riceve mai la chiave di decriptazione promossa e, ovviamente, non ha alcuna speranza di rivedere i suoi soldi.

Come individuare un servizio di decriptazione affidabile

Non esistono tool o software gratuiti per il ripristino dei documenti colpiti da un ransomware.
L’unica soluzione per decriptare i file consiste nel rivolgersi ad un’agenzia specializzata in questo tipo di interventi, avendo l’accortezza di scegliere un interlocutore davvero serio ed affidabile.

Non esiste un sistema valido per tutti i casi di infezione ma, per ciascun attacco, occorre un lungo lavoro di analisi per l’individuazione della chiave che consente di decodificare i file cifrati.

Tra le realtà più accreditate segnaliamo l’italiana Openfile che sul suo portale offre molte indicazioni utili per prevenire e porre rimedio all’attacco di questi virus. Come è possibile leggere sulle pagine del sito, ad oggi non sempre è possibile recuperare i file, perché alcune tipologie di ransomware rappresentano ancora un nemico poco conosciuto.

Openfile, tuttavia, garantisce il 95% di possibilità di ripristinare tutti i file criptati quando il responsabile dell’attacco è il CryptoLocker.
Punto di forza dei servizi offerti è la scelta di offrire gratuitamente la diagnosi del tipo di malware e l’analisi necessaria per il recupero della chiave di decriptazione. Solo quando i tecnici sono certi di aver individuato il giusto codice alfanumerico e aver correttamente decifrato il file fornito dall’utente per l’analisi, viene proposta l’elaborazione di un software appositamente sviluppato, rilasciato insieme ad un regolare contratto.

Rivolgersi ad un’azienda che opera in modo trasparente, magari fornendo anche consulenze in italiano e assistenza da remoto, è, per ovvi motivi, di fondamentale importanza: quando si naviga sul web alla ricerca di una soluzione ai danni provocati dai ransomware il pericolo di incappare in truffe, purtroppo, è sempre in agguato.

Non posso trovare da solo la chiave di decriptazione?

La domanda sorge spontanea: non esiste un modo per procurarsi la tanto agognata chiave senza doversi rivolgere ai servizi offerti da terzi?

In realtà, anche per le persone che possiedono le competenze informatiche e matematiche necessarie per affrontare un problema complesso come la decifrazione di un documento criptato, una simile sfida richiederebbe un notevole dispendio economico per l’acquisto di macchine dotate di una capacità di calcolo sufficiente: per elaborare e testare tutte le sequenze alfanumeriche possibili un normale computer impiegherebbe anni.

Sebbene i ransomware continuino a rappresentare una delle minacce più gravi per la sicurezza informatica, le armi per combattere i cyber-criminali sono oggi molte e facilmente accessibili.

Cosa puoi fare nel tuo piccolo per contribuire a contrastare i cyber-attacchi? Condividi questo articolo e fai circolare le raccomandazioni contenute al suo interno: conoscere il nemico è il primo passo necessario per sconfiggerlo.

By