Crypto Virus - Come difendersi e recuperare i dati

Premessa

Infolab Data è un’azienda che si occupa di recupero dati da hard disk e in generale da supporti digitali, per questo motivo spesso ci arrivano richieste di recupero dati virus Cryptolocker e da casi simili, dove la perdita di dati non è causata da un guasto, ma bensì da un attacco di un malware con richiesta di riscatto.

Abbiamo avuto sporadici successi con alcuni casi grazi a delle falle nel sistema di criptazione o grazie all’utilizzo di tecniche specifiche per il recupero dati logico. Cercando la soluzione al problema abbiamo individuato alcuni centri in Italia con i quali collaboriamo principalmente per poter offrire la soluzione ai nostri clienti coinvolti in questo tipo di attacco. Purtroppo il servizio risulta piuttosto oneroso e per questo accessibile solo ad aziende che devono affrontare una grave perdita di informazioni.

Per questo il nostro consiglio è sempre quello della prevenzione. La migliore tecnica di difesa ad oggi conosciuta è il Backup differenziale in Cloud (con soli 60 €/anno il cryptovirus non potrà farti nessun male).

Infolab DATA è assolutamente contraria al pagamento del riscatto e rifiuta categoricamente qualsiasi attività diversa da quella tecnica di puro recupero dati in laboratorio. Oltre l’impegno diretto, quando non abbiamo la soluzione, collaboriamo con aziende professioniste del settore di recupero dati in Italia dove crediamo di poter ottenere i risultati attesi dai nostri clienti.

Per i nostri servizi di recupero dati e simili in caso di insuccesso non viene addebitato il costo della lavorazione. Contattaci per un preventivo, posiamo aiutarti.

Crypto Virus: di cosa si tratta?

CryptoLocker, CryptoWall, TeslaCrypt, Freespeech.virus e Cryptobit sono solo alcune delle varianti di una tipologia di virus di nuova generazione: i ransomware. Questi malware molto aggressivi rendono inutilizzabili tutti i file dalle estensioni più comuni (.doc, .xls, .pdf, .jpg, .psd, ecc.) e chiedono il pagamento di un riscatto (“ransom” in inglese) per ottenere la chiave di decrittazione. In poche parole: si tratta di un ricatto, un crimine informatico bello e buono.

Ma come ho fatto ad infettarmi?

Ci sono moltissimi modi in cui questi virus possono diffondersi. Basta ricevere una mail con un link o un allegato infetto, scaricare aggiornamenti da siti poco sicuri o utilizzare supporti esterni infettati dal virus.

Sfortunatamente, molti antivirus non si accorgono del problema e non riescono a individuare la minaccia. Una volta avviato il programma, il virus inizia a criptare i dati tramite algoritmi sempre più sofisticati. Tra questi algoritmi troviamo anche il temuto RSA 2048 bit, in grado di generare una chiave di cifratura che, al momento, rende impossibile ogni tentativo di decrittazione.

L’unica difesa sono programmi antivirus aggiornati e sensibili a questo tipo di attacchi (ransomware), combinati con i sistemi di backup in cloud che permettono di salvare periodicamente e con elevati protocolli di sicurezza i propri dati.

Noi personalmente consigliamo ai nostri clienti Atollo Backup, il software offerto da InfoLAB Cloud a soli 4 €/mese 🙂

Cosa fare per limitare i danni?

Se vi accorgete che il computer è diventato visibilmente più lento senza motivo e che è stato avviato un programma sospetto, l’azione giusta è sempre quella di chiudere il sistema in modo forzato e contattare dei professionisti del recupero dati per una valutazione della situazione.

Con uno spegnimento tempestivo del sistema c’è una buona probabilità di salvare gran parte dei dati che il malware non ha avuto il tempo di raggiungere. Se si dispone di un sistema backup di sicurezza (come il sopracitato Atollo Backup, ad esempio) è necessario pulire il sistema dal virus e, con l’aiuto di un esperto, ripristinare il computer direttamente dal cloud.

È possibile recuperare dati infettati da virus di questo tipo?

Sì, esistono diversi metodi che permettono di decrittare i dati. Da molto tempo il gruppo InfoLAB Data cerca di risolvere il problema e, in alcuni casi, è anche riuscito a trovare delle valide soluzioni.

Tutti i virus di questo tipo offrono la possibilità di pagare un riscatto, ma, ovviamente, non c’è nessuna garanzia che, una volta avvenuto il pagamento, venga inviata anche la chiave di decrittazione necessaria a decodificare i dati. Per questo noi sconsigliamo sempre di percorrere questa strada perchè oltre a spendere inutilmente i vostri soldi state anche contribuendo allo sviluppo e al mantenimento di questi virus.

Insomma: oltre il danno anche la beffa.

Tecniche per il recupero dei dati:

La prima opzione (ed anche la più semplice) è il “data mining”, cioè una tecnica che tramite la lettura dell’intera struttura dei settori del disco è in grado di individuare dati nascosti al sistema. Tali dati non hanno subito la criptazione e possono essere recuperati. In questi casi i dati recuperati correttamente sono compresi tra il 10% e il 30% dell’ammontare totale. L’entità limitata del recupero è dovuta al fatto che il metodo non utilizza la decrittazione, ma fa affidamento sui file non infettati dal malware.

Un’altra opzione (molto più complessa) prevede il recupero di dati sfruttando le possibili conoscenze legate allo specifico virus. Alcuni virus, infatti, hanno dei “punti deboli”, delle falle che è possibile sfruttare per riavere i propri dati. Si tratta quindi di sfruttare gli errori commessi dagli hacker che hanno creato il virus.

I casi più frequenti:

Alcuni virus adoperano algoritmi di crittografia scritti male, per cui sono state trovate delle soluzioni. Purtroppo questi casi sono sempre più rari, perché gli stessi autori dei virus si sono orientati verso algoritmi più efficaci.
Alcuni virus presentano un errore nella generazione finale della “chiave pubblica” con la quale è stata eseguita la crittazione (un esempio è il virus TeslaCrypt). In questi casi la decrittazione è possibile attraverso una procedura di analisi matematica.
Alcuni virus offrono l’opportunità di avere dai ricattatori un singolo file decriptato, come prova che il pagamento conviene e serve effettivamente a riavere i dati. Utilizzando il file originale e quello decriptato si riesce a risalire alla chiave di decrittazione necessaria alla lettura del sistema infetto.

InfoLAB Data.

Cookie	Descrizione
cookielawinfo-checkbox-analytics	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Performance".
gdpr[allowed_cookies]	Questo cookie è impostato dal plugin GDPR WordPress. Viene utilizzato per memorizzare i cookie consentiti dagli utenti loggati e dai visitatori del sito web.
gdpr[consent_types]	Questo cookie è impostato dal plugin GDPR WordPress. Viene utilizzato per memorizzare il consenso degli utenti all'utilizzo dei cookie.
viewed_cookie_policy	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
_GRECAPTCHA	Questo cookie è impostato dal servizio recaptcha di Google per identificare i bot e proteggere il sito Web da attacchi spam dannosi.

Cookie	Descrizione
CONSENT	YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.
iutk	Questo cookie viene utilizzato dal sistema analitico Issuu per raccogliere informazioni sull'attività dei visitatori sui prodotti Issuu.
_ga	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_466588_4	Impostato da Google per distinguere gli utenti.
_gat_UA-55714995-14	Una variante del cookie _gat impostato da Google Analytics e Google Tag Manager per consentire ai proprietari di siti Web di tracciare il comportamento dei visitatori e misurare le prestazioni del sito. L'elemento del modello nel nome contiene il numero di identità univoco dell'account o del sito Web a cui si riferisce.
_gcl_au	Fornito da Google Tag Manager per sperimentare l'efficienza pubblicitaria dei siti Web che utilizzano i loro servizi.
_gid	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Cookie	Descrizione
mc	Quantserve imposta il cookie mc per tracciare in modo anonimo il comportamento degli utenti sul sito web.
test_cookie	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente usa la nuova o la vecchia interfaccia del lettore.
YSC	Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

Crypto Virus – Come difendersi e recuperare i dati