Ultimamente, tra le minacce informatiche più pericolose, sta avendo una grande diffusione una tipologia di software nota come “Ramsomware” che, come dice il nome, prende in ostaggio i nostri dati, di device fissi e mobili, li cripta con chiavi di codifica complicate e, poi, ci chiede un riscatto, generalmente 300/500 dollari in una modalità non tracciabile (es. i Bitcoin), per riportare la situazione alla normalità.
Ultimamente, scenari del genere si sono visti a proposito di 2 ramsomware in particolare. Chimera, ad esempio, colpisce molto spesso i contesti aziendali: dopo aver criptato i dati, ne cambia anche le estensioni in .crypt in modo da rendere impossibile capire se un dato file fosse un foglio di Excel o un documento work (in questo modo è assai più difficile quantificare il danno). Nel caso, poi, non si pagasse il riscatto, la minaccia è di quelle serie: Chimera, infatti, minaccia di prendere i dati cui hanno accesso le persone più in vista in azienda e di divulgarli da qualche parte in rete. Per i segreti industriali è una vera e propria dannazione!
Non meno cattivo si dimostra il sadico “Cryptowall” che, dopo aver criptato i dati con la difficilissima chiave RSA a 2048-bit, cambia anche il nome dei file con lunghe sequenze alfanumeriche casuali. Il bello, o brutto a seconda dei punti di vista, è anche la presa in giro finale: a “servizio completato”, Cryptowall, ti informa che anche tu fai parte della Cryptowall community e che è inutile provare a ripristinare i file codificati: sarebbe come mescolare le tessere di un mosaico e i file in questione diverrebbero del tutto e per sempre illeggibili. Meglio pagare. Secondo loro.
Ma anche secondo l’FBI a parere della quale, messo su una bilancia il riscatto richiesto e la potenziale perdita economica dell’azienda (nel caso di Cryptowall 4.0 si parla di qualcosa come di 18 mila dollari ad azienda), sarebbe meglio pagare il riscatto e togliersi il pensiero. Sempre ammesso che il criminale decida per davvero di sbloccarvi i dati.
Per questo motivo, ed anche per evitare di alimentare un’insana e criminale economia parallela, è bene adottare delle cautele. Nel caso il vostro computer accusi rallentamenti inspiegabili, è bene riavviarlo in modalità provvisoria – senza l’accesso a internet – e sottoporlo ad una scansione con un’utility installata su chiavetta esterna: il “Virus Removal Tool” di Sophos si rivela molto utile allo scopo (https://bit.ly/1Mv2xvp).
Se, invece, vi è già comparsa la richiesta di riscatto, sempre avviando il sistema in modalità provvisoria, tentate una scansione – da usb pendrive esterna – con il Ransomware Removal Tool di Bitdefender (https://bit.ly/1PkX7oW). Nei casi peggiori in cui la modalità provvisoria sia stata bloccata dal virus in questione, avviate la scansione con questi programmi utilizzando la shell di comandi Dos di Windows.
Lo stesso discorso, comunque, vale anche per i dispositivi mobili che, in caso di ransomware, vanno avviati in Safe Mode per poter disinstallare tutte le app dai nomi strani (es. BaDoink), magari verificando prima se le app malevole si sian arrogati i diritti amministrativi nell’apposita sezione del vostro smartphone.
Sempre e comunque, per device fissi e mobili (o ibridi), vale il discorso di tenere aggiornato, sul device, una soluzione antivirus, in special modo di quelle che utilizzano le definizione virali condivise via cloud per la scansione delle minacce istantanee zero-day. In casi del genere, il virus – se pure bloccasse le definizioni locali del vostro antivirus – nulla potrebbe contro quelle remote gestite dalla community del vostro antivirus.